Los delincuentes aprovechan un protocolo de routing antiguo para amplificar ataques DDoS
Investigadores de Akamai advierten de que determinados routers instalados en hogares y PYMES que todavía soportan el protocolo de enrutamiento de información RIPv1, pueden desencadenar y amplificar ataques de denegación de servicio.
Se trata de routers que soportan el Routing Information Protocol versión 1, un estándar de la década de los 80, que ya resulta obsoleto y que está siendo utilizado para lanzar ataques de denegación de servicio distribuidos.
El protocolo RIPv1 se introdujo en 1988 y se retiró como estándar de Internet en 1996 debido a múltiples deficiencias, como la falta de autenticación. Estos problemas se abordaron en la versión 2 de RIP, que todavía está en uso en nuestros días.
En los ataques DDoS que ha detectado recientemente la firma Akamai, los atacantes utilizaron cerca de 500 routers, configurados para RIPv1, y lograron extender y amplificar su tráfico malicioso.
RIP permite a un router pedir a otros la información almacenada en sus tablas de enrutamiento. El problema es que la dirección IP de origen de una solicitud de este tipo puede ser falsa, por lo que los routers que responden pueden ser engañados para enviar la información a una dirección IP elegida por los atacantes.
Se conoce como ataque de reflexión o por repeticiones porque la víctima recibe el tráfico no solicitado de routers vulnerados, y no directamente de los sistemas controlados por los atacantes.
Pero hay otro aspecto importante de esta técnica: Una petición típica RIPv1 ocupa 24 bytes, pero si las respuestas generadas por los routers son más grandes, los atacantes pueden generar más tráfico que el que lograrían con el ancho de banda a su disposición. En los ataques observados por Akamai, los routers vulnerados respondieron con múltiples cargas útiles de 504 bytes, consiguiendo una amplificación del 13.000 por ciento.
También se pueden explotar con esta técnica otros protocolos si los servidores no están configurados correctamente, entre ellos, DNS (Domain Name System), mDNS (DNS multicast), NTP (Network Time Protocol) y SNMP (Simple Network Management Protocol).
El equipo de Akamai ha rastreado Internet y encontró 53.693 dispositivos que podrían ser utilizados para extender estos ataques a partir del protocolo RIPv1. La mayoría de ellos estaban en hogares y pequeñas empresas.
Para evitar ser víctima de ataques basados en RIPv1, los propietarios de servidores deben utilizar las listas de control de acceso para restringir el tráfico de Internet en el puerto de origen UDP 520, según recomendación de los investigadores de Akamai. Mientras tanto, los propietarios de los dispositivos habilitados para RIPv1 deben cambiar a RIPv2, restringir el uso del protocolo a la red interna única o, si ninguna de estas opciones es viable, establecer listas de control de accesos que restrinjan el tráfico RIPv1 sólo a routers próximos.
