Akamai Technologies, Inc. (NASDAQ: AKAM), proveedor global especializado en servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), ha publicado a través del Equipo de Respuesta e Ingeniería de Seguridad de Prolexic (PLXsert), una nueva advertencia de amenaza de ciberseguridad.
La amenaza está relacionada con el creciente uso del Protocolo de Información de Enrutamiento versión 1 (RIPv1), que está en desuso, para ataques de reflexión o de amplificación. La advertencia completa que detalla esta amenaza está disponible en http://www.stateoftheinternet.com/ripv1-reflection-ddos4
¿Qué es RIPv1?
RIPv1 es una manera rápida y fácil de compartir dinámicamente información de ruta utilizando una pequeña red con múltiples routers. Una solicitud típica se envía por un router que ejecuta el RIP cuando se configura por primera vez o se enciende. Desde entonces, cualquier dispositivo que escucha las solicitudes responderá con una lista de rutas y actualizaciones que se envían como emisiones.
“Esta versión del protocolo RIP se presentó en 1988 – hace más de 25 años bajo RFC1058,” dijo Stuart Scholly, Vicepresidente Senior y Director General de la Unidad de Negocio de Seguridad de Akamai. “Aunque sorprenda que haya vuelto a aparecer RIPv1 después de más de un año de inactividad, está claro que los atacantes están explotando la creencia que es un vector de reflexión DDoS abandonado. Aprovechando el comportamiento de RIPv1 para lanzar un ataque de reflexión DDoS es bastante sencillo para un atacante – utilizando una solicitud de emisión normal, la solicitud maliciosa puede enviarse como una solicitud unicast directamente al reflector. El atacante puede entonces burlar la fuente de la dirección IP para alcanzar la meta de ataque prevista – causando daños a la red.”
Utilizar RIPv1 para lanzar un ataque de reflexión DDoS
La investigación del equipo PLXsert muestra que los atacantes prefieren routers con un gran volumen de rutas en la base de datos del RIPv1. En base a este estudio, la mayoría de los ataques reconocidos tuvieron solicitudes que resultaron en múltiples cargas de respuestas de 504 bytes enviadas a una meta con una única solicitud. Una solicitud RIPv1 típica contiene una carga de solo 24 bytes, lo que prueba que los atacantes están consiguiendo un gran volumen de tráfico no solicitado que inunda su meta con una pequeña solicitud.
El equipo estudió un ataque real contra un cliente de Akamai que tuvo lugar el 16 de mayo de 2015. El estudio y escaneo no intrusivo del ataque reveló que los dispositivos utilizados para el ataque de reflexión RIP posiblemente no utilizaban hardware de enrutamiento de tipo empresarial. El equipo avisa que el RIPv1 está funcionando según lo previsto y los actores maliciosos seguirán explotando este método como una manera fácil para lanzar ataques de reflexión y amplificación.
Mitigación de amenaza
Para evitar un ataque de reflexión DDoS utilizando RIPv1, hay que tomar en consideración una de las siguientes técnicas:
– Cambiar a RIPv2, o superior, para permitir la autenticación.
– Utilizar una lista de control de acceso (ACL) para restringir el puerto de fuente UDP (User Datagram Protocol) 520 desde Internet
Akamai sigue monitorizando campañas que utilizan RIPv1 para lanzar ataques de reflexión DDoS. Para saber más acerca de la amenaza y técnicas de mitigación, descargue una copia de la advertencia de amenaza en www.stateoftheinternet.com .