Crece el uso del Protocolo de Información de Enrutamiento versión (RIPv1) para Ataques de Reflexión DDoS
Los ciberataques que utilizan este protocolo aumentan. Los atacantes prefieren routers con un gran volumen de rutas en la base de datos del RIPv1.
RIPv1 es una manera rápida y fácil de compartir dinámicamente información de ruta utilizando una pequeña red con múltiples routers. Este es el protocolo que está siendo utilizado para ataques de reflexión o de amplificación, convirtiéndose en una amenaza para la seguridad, según Akamai Technologies. Normalmente, cuando no está afectado este envía una solicitud típica a través de un router que ejecuta el RIP cuando se configura por primera vez o se enciende. Desde entonces, cualquier dispositivo que escucha las solicitudes responderá con una lista de rutas y actualizaciones que se envían como emisiones.
Aprovechar el comportamiento de RIPv1 para lanzar un ataque de reflexión DDoS es bastante sencillo para un atacante, utilizando una solicitud de emisión normal, la solicitud maliciosa puede enviarse como una solicitud unicast directamente al reflector. El atacante puede entonces burlar la fuente de la dirección IP para alcanzar la meta de ataque prevista causando daños a la red, tal y como se analiza en la advertencia que Akamai ha publicado a través del Equipo de Respuesta e Ingeniería de Seguridad pequeña solicitud.
Para evitar un ataque de reflexión DDoS utilizando RIPv1, hay que cambiar a RIPv2, o superior, para permitir la autenticación o utilizar una lista de control de acceso (ACL) para restringir el puerto de fuente UDP (User Datagram Protocol) 520 desde Internet.
de Prolexic (PLXsert).
“Esta versión del protocolo RIP se presentó en 1988 bajo RFC1058,” ha comentado Stuart Scholly, Vicepresidente Senior y Director General de la Unidad de Negocio de Seguridad de Akamai. “Aunque sorprenda que haya vuelto a aparecer RIPv1 después de más de un año de inactividad, está claro que los atacantes están explotando la creencia que es un vector de reflexión DDoS abandonado.
La investigación del equipo PLXsert muestra que los atacantes prefieren routers con un gran volumen de rutas en la base de datos del RIPv1. En base a este estudio, la mayoría de los ataques reconocidos tuvieron solicitudes que resultaron en múltiples cargas de respuestas de 504 bytes enviadas a una meta con una única solicitud. Una solicitud RIPv1 típica contiene una carga de solo 24 bytes, lo que prueba que los atacantes están consiguiendo un gran volumen de tráfico no solicitado que inunda su meta con una
El equipo estudió un ataque real contra un cliente de Akamai que tuvo lugar el 16 de mayo de 2015. El estudio y escaneo no intrusivo del ataque reveló que los dispositivos utilizados para el ataque de reflexión RIP posiblemente no utilizaban hardware de enrutamiento de tipo empresarial. El equipo avisa que el RIPv1 está funcionando según lo previsto y los actores maliciosos seguirán explotando este método como una manera fácil para lanzar ataques de reflexión y amplificación.
Para evitar un ataque de reflexión DDoS utilizando RIPv1 hay que cambiar a RIPv2, o superior, para permitir la autenticación o utilizar una lista de control de acceso (ACL) para restringir el puerto de fuente UDP (User Datagram Protocol) 520 desde Internet.
