Akamai Technologies, la empresa especializada en servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), publicó a través del Equipo de Respuesta e Ingeniería de Seguridad de Prolexic (PLXsert), una nueva advertencia sobre la ya conocida amenaza RIPv1.
La amenaza está relacionada con el creciente uso del Protocolo de Información de Enrutamiento VERSIÓN 1 (RIPv1), que está en desuso, para ataques de reflexión o de amplificación.
RIPv1 es una manera rápida y fácil de compartir dinámicamente información de análisis de tráfico de datos utilizando una pequeña red con múltiples routers. Una solicitud típica se envía por un router que ejecuta el RIP cuando se configura por primera vez o se enciende. Desde entonces, cualquier dispositivo que escucha las solicitudes responderá con una lista de rutas y actualizaciones que se envían como emisiones.
“Esta versión del protocolo RIP se presentó en 1988, hace más de 25 años, bajo la designación RFC1058,” explicó Stuart Scholly, Vicepresidente Senior y Director General de la Unidad de Negocio de Seguridad de Akamai. “Aunque sorprenda que haya vuelto a aparecer RIPv1 después de más de un año de inactividad, está claro que los atacantes están explotando la creencia que es un vector de reflexión DDoS abandonado. Aprovechando el comportamiento de RIPv1 para lanzar un ataque de reflexión DDoS es bastante sencillo para un atacante enviar una solicitud maliciosa que simule ser una solicitud unicast directamente al reflector. El atacante puede entonces burlar la fuente de la dirección IP para alcanzar la meta de ataque prevista causando daños a la red.”
La investigación del equipo PLXsert muestra que los atacantes prefieren routers con un gran volumen de rutas en la base de datos del RIPv1. En base a este estudio, la mayoría de los ataques reconocidos tuvieron solicitudes que resultaron en múltiples cargas de respuestas de 504 bytes enviadas a una meta con una única solicitud. Una solicitud RIPv1 típica contiene una carga de solo 24 bytes, lo que prueba que los atacantes están consiguiendo un gran volumen de tráfico no solicitado que inunda su meta con una pequeña solicitud.
El equipo estudió un ataque real contra un cliente de Akamai que tuvo lugar el 16 de mayo de 2015. El estudio y escaneo no intrusivo del ataque reveló que los dispositivos utilizados posiblemente no utilizaban hardware de enrutamiento de tipo empresarial. El equipo notificó que el RIPv1 está funcionando según lo previsto y los actores maliciosos seguirán explotando este método como una manera fácil para lanzar ataques de reflexión y amplificación.
Para evitar un ataque de reflexión DDoS utilizando RIPv1, hay que tomar en consideración una de las siguientes técnicas:
- Cambiar a RIPv2, o superior, para permitir la autenticación.
- 00Utilizar una lista de control de acceso (ACL) para restringir el puerto de fuente UDP (User Datagram Protocol) 520 desde Internet
