image

IPv6-feature gebruikt voor mitm-aanval en verspreiden besmette updates

donderdag 1 mei 2025, 14:11 door Redactie, 8 reacties

Aanvallers hebben van een IPv6-feature gebruikgemaakt voor het uitvoeren van man-in-the-middle (mitm) aanvallen om zo besmette updates onder doelwitten te verspreiden. Dat laat antivirusbedrijf ESET in een analyse weten. De feature in kwestie heet stateless address autoconfiguration (SLAAC). Het zorgt ervoor dat clients op het netwerk hun eigen ip-adres en gateway kunnen instellen, zonder dat hiervoor een DHCP-server is vereist.

Wanneer een client online komt stuurt die een Router Solicitation bericht. Een router in het netwerk zal vervolgens met een Router Advertisement (RA) bericht antwoorden. Dit bericht bevat onder andere informatie over de te gebruiken gateway en dns-servers. Bij de aanvallen die ESET ontdekte gebruikten de aanvallers een tool genaamd Spellbinder waarbij ze gespoofte RA-berichten naar doelwitten stuurden, waardoor de machines van deze doelwitten verbinding maakten met servers van de aanvallers.

De gespoofte RA-berichten bevatten een gateway die van de aanvallers is en vervolgens het verkeer kan onderscheppen. Wanneer software op het systeem van het doelwit via http op beschikbare updates controleert wordt dit verzoek naar een malafide server doorgestuurd, die vervolgens een besmette update als antwoord geeft. Deze besmette update wordt vervolgens op het systeem van de gebruiker uitgevoerd, wat leidt tot de installatie van een backdoor waarmee de aanvallers controle over het systeem krijgen.

Volgens ESET is de aanval onder andere uitgevoerd tegen gebruikers van de Chinese keyboard-app Sogou. Daarnaast hebben de aanvallers het ook voorzien op domeinen van Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 en Baofeng. De virusbestrijder stelt dat er aanvallen zijn uitgevoerd tegen individuen, gokbedrijven en onbekende entiteiten in de Filipijnen, Cambodja, de Verenigde Arabische Emiraten, China en Hongkong. Al in 2011 werd gewaarschuwd voor het kunnen gebruiken van SLAAC bij aanvallen.

Image

Reacties (8)
Gisteren, 14:41 door Named
Als de aanvaller op het lokale netwerk zit is er natuurlijk een spoofingrisico.
Vroeger had ik een app waarmee ik ARP spoofing kon doen. Ik kon alles wat onversleuteld was uitlezen.
(Zo kwam ik erachter dat een familielid zijn email app onveilig had ingesteld. Dezelfde avond nog opgelost.)

Daarnaast, wat voor een fragiel updateproces is dat? HTTP? Geen signed binaries? :-(
Gisteren, 15:40 door Anoniem
Daarnaast, wat voor een fragiel updateproces is dat? HTTP?

Indien het effectief is en werkt, dan is het voor de crimineel toch geen probleem, of het update proces fragiel is.
Gisteren, 15:50 door johanw
Dat krijg je met IPv6: complexiteit is een vijand van veiligheid.
Gisteren, 17:05 door Named
Door johanw: Dat krijg je met IPv6: complexiteit is een vijand van veiligheid.
Helaas is complexiteit soms vereist omdat het probleem gewoon geen simpele oplossing heeft.
IPv4 is trouwens net zo complex. (Denk aan (CG-)NAT, hole-punching, fragmen, SNI, tation, etc.)
Gisteren, 18:12 door e.r.
Ligt het aan mij of is dit gewoon het spoofen van een DHCP server zonder dat het DHCP heet?
Gisteren, 18:58 door Anoniem
Door e.r.: Ligt het aan mij of is dit gewoon het spoofen van een DHCP server zonder dat het DHCP heet?

Klopt.
Het is helemaal equivalent met DHCP server (en/of ARP gateway) spoofing, maar dan voor IPv6 .
Gisteren, 18:59 door Anoniem
Door johanw: Dat krijg je met IPv6: complexiteit is een vijand van veiligheid.

Onzin Johan.

Het is doodgewoon equivalent aan een rogue IPv4 DHCP server die de intruder als router (of dns server) meegeeft.
Gisteren, 20:21 door Anoniem
Daarnaast, wat voor een fragiel updateproces is dat? HTTP? Geen signed binaries? :-(

Signed but not checked. Een applicatie zou natuurlijk niet alleen een certificaat kunnen verifieren maar ook de tenaamstelling. Gezien het type aanvallen zou het me niets verbazen als dat niet helpt.

Een interne PGP signing zou wel helpen. Voor een bypass zou je de key moeten hebben, je kan niet een nieuw certificaat aanschaffen bij een derde partij zoals bij certificaten.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.