8/10/2016

IPv6 NDPによるDoSの脆弱性 (Juniper)

Cisco IOS/XR/XE/NX-OS/ASA/StarOSにおいて、IPv6 Neighbor Discoveryパケットの処理にサービス拒否攻撃を許してしまう脆弱性(CVE-2016-1409cisco-sa-20160525-ipv6)があることが今年5月に明らかになっていたが、JuniperのJunos OS、JUNOSeにも影響があり、DDoSを引き起こす可能性があるとセキュリティアドバイザリ(JSA10749)が発行されている。

IPv6の処理の中に、特別なやり方で細工されたIPv6 Neighbor Discovery (ND)パケットが破棄されずにルータに受け入られてしまう脆弱性が発見された。ルータに問題を起こすパケットはルーティングエンジン(RE)によって処理されてしまう。悪意のあるネットワークベースのパケットフラッドがローカルブロードキャストドメインを超えてやってくると、REのCPUがスパイクを引き起こす、あるいは連動するARPプロトコルグループポリサーのDDoSプロテクションを引き起こす。これが起こると、DDoSポリサーが正規のタイムアウトとして正規のIPv6ネイバーを落とし始めるかもしれない。

ars technica