Madrid – 8 de julio de 2015 –
Akamai Technologies, Inc. (NASDAQ: AKAM), el líder global en servicios
de CDN (Content Delivery Network – Red
de Entrega de Contenidos), ha publicado a través del Equipo de
Respuesta e Ingeniería de Seguridad de Prolexic (PLXsert), una nueva
advertencia de amenaza de ciberseguridad. La amenaza está relacionada
con el creciente uso del Protocolo de Información de Enrutamiento
versión 1 (RIPv1), que está en desuso, para ataques de reflexión o de
amplificación. La advertencia entera que detalla esta amenaza está
disponible en:
http://www.stateoftheinternet.
¿Qué es RIPv1?
RIPv1
es una manera rápida y fácil de compartir dinámicamente información de
ruta utilizando una pequeña red con múltiples routers. Una solicitud
típica se envía por un router que ejecuta el RIP cuando se
configura por primera vez o se enciende. Desde entonces, cualquier
dispositivo que escucha las solicitudes responderá con una lista de
rutas y actualizaciones que se envían como emisiones.
“Esta
versión del protocolo RIP se presentó en 1988 – hace más de 25 años
bajo RFC1058,” dijo Stuart Scholly, Vicepresidente Senior y Director
General de la Unidad de Negocio de Seguridad de Akamai. “Aunque
sorprenda que haya vuelto a aparecer RIPv1 después de más de un año de
inactividad, está claro que los atacantes están explotando la creencia
que es un vector de reflexión DDoS abandonado. Aprovechando el
comportamiento de RIPv1 para lanzar un ataque de reflexión
DDoS es bastante sencillo para un atacante – utilizando una solicitud
de emisión normal, la solicitud maliciosa puede enviarse como una
solicitud unicast directamente al reflector. El atacante puede entonces
burlar la fuente de la dirección IP para alcanzar
la meta de ataque prevista – causando daños a la red.”
Utilizar RIPv1 para lanzar un ataque de reflexión DDoS
La
investigación del equipo PLXsert muestra que los atacantes prefieren
routers con un gran volumen de rutas en la base de datos del RIPv1. En
base a este estudio, la mayoría de los ataques reconocidos tuvieron
solicitudes que resultaron en múltiples cargas de respuestas de 504
bytes enviadas a una meta con una única solicitud. Una solicitud RIPv1
típica contiene una carga de solo 24 bytes, lo que prueba que los
atacantes están consiguiendo un gran volumen de tráfico
no solicitado que inunda su meta con una pequeña solicitud.
El
equipo estudió un ataque real contra un cliente de Akamai que tuvo
lugar el 16 de mayo de 2015. El estudio y escaneo no intrusivo del
ataque reveló que los dispositivos utilizados para el ataque de
reflexión
RIP posiblemente no utilizaban hardware de enrutamiento de tipo
empresarial. El equipo avisa que el RIPv1 está funcionando según lo
previsto y los actores maliciosos seguirán explotando este método como
una manera fácil para lanzar ataques de reflexión y amplificación.
Mitigación de amenaza
Para evitar un ataque de reflexión DDoS utilizando RIPv1, hay que tomar en consideración una de las siguientes técnicas:
·
Cambiar a RIPv2, o superior, para permitir la autenticación
·
Utilizar
una lista de control de acceso (ACL) para restringir el puerto de
fuente UDP (User Datagram Protocol) 520 desde Internet
Akamai
sigue monitorizando campañas que utilizan RIPv1 para lanzar ataques de
reflexión DDoS. Para saber más acerca de la amenaza y técnicas de
mitigación, descargue una copia de la advertencia de amenaza
en www.stateoftheinternet.com.
No hay comentarios:
Publicar un comentario