Routerele, afectate de un protocol vechi

Un protocol vechi pentru routere sunt folosite de hackeri pentru a lansa atacuri cibernetici tip DDoS (distributed denial-of-service).

Atacurile DDoS observate în luna mai de către echipa de cercetare Akamai au abuzat de routerele casnice și cele ale micilor întreprinderi, care suportă încă Routing Information Protocol versiunea 1 (RIPv1). Acest protocol este proiectat pentru a permite routerelor pe rețelele mici să schimbe informații despre rute, scrie Smartnews.

RIPv1 a fost introdus prima oară în anul 1988 și a fost retras ca standard internet în 1996, din cauza multiplelor deficiențe, inclusiv pentru lipsa autentificării. Acesta a fost remediat prin versiunea RIP 2, care este folosită și astăzi. 

În atacurile DDoS observate de Akamai, care au ajuns la 12,8 gigabiți pe secundă, atacatorii au folosit aproximativ 500 de routere SOHO care sunt încă configurate pentru RIPv1, pentru a reflecta și amplifica traficul malițios. 

Reflectarea DDoS este o tehnică ce poate fi folosită pentru a ascunde sursa reală a atacului, în timp ce amplificarea permite atacatorilor să crească cantitatea de trafic pe care o pot genera. 

RIP permite unui router să solicite altor routere informații stocate în tabelele de rutare. Problema este că adresa IP sursă a unei astfel de solicitări poate fi falsificată, astfel încât routerul respondent poate fi păcălit pentru a trimite informațiile la o adresă IP aleasă de atacatori.  

Acesta este un atac de reflecție, deoarece victima va primi trafic nesolicitat de la routerele abuzate, iar nu direct de la sistemele controlate de către atacatori. 

Însă există un alt aspect important privind această tehnică: o cerere tipică RIPv1 are dimensiunea de 24 biți, însă dacă răspunsurile generate de routerele abuzate sunt mai mari decât atât, atacatorii pot genera mai mult trafic pe care, altfel, l-ar putea face cu mai multă lățime de bandă la dispoziție. 

În atacurile observate de Akamai, routerele abuzate au răspuns cu payload-uri de 504-byte multiple – în unele cazuri 10 – la fiecare solicitare de 24-byte, ajungând la o amplificare de 13.000%. 

Și alte protocoale pot fi exploatate pentru reflecție și amplificare DDoS dacă serverele nu sunt configurate corect, cum ar fi DNS (Domain Name System), mDNS ( multicast DNS), NTP (Network Time Protocol) și SNMP (Simple Network Management Protocol). 

Echipa Akamai a scanat internetul și a găsit 53.693 dispozitive care ar putea fi folosite pentru reflecție DDoS folosind protocolul RIPv1. Majoritatea sunt routere casnice și ale întreprinderilor mici.  Cercetătorii au putut să determine marca și modelul pentru peste 20.000 dintre dispozitive, deoarece interfețele de gestionare web-based au fost expuse pe internet. 

Aproximativ 19.000 au fost routere Netopia 3000 și 2000 serie DSL distribuite de furnizorii de servicii internet din SUA clienților lor. AT&T a avut cea mai mare concentrare a acestor dispozitive pe rețeaua sa: aproximativ 10.000 – urmată fiind de BellSouth și MegaPath, fiecare cu câte 4.000. 

Peste 4.000 dintre dipozitivele RIPv1 găsite de Akamai au fost modemuri ZTE ZXV10 ADSL, iar câteva sute au fost routere TP-Link TD-8xxx. 

Deși toate aceste dispozitive pot fi folosite pentru reflecție DDoS, nu toate sunt potrivite pentru amplificare. Multe au răspuns cererilor RIPv1 cu o singură rută, însă cercetătorii au identificat 24.212 dispozitive care au oferit o rată de amplificare de cel puțin 83%. 

Pentru a evita să cadă victime ale atacurilor bazate pe RIPv1, proprietarii de servere ar trebui să folosească listele de  control al accesului pentru a restricționa traficul internet pe UDP source port 520, au declarat cercetătorii Akamai în raportul lor. Între timp, proprietarii de dispozitive RIPv1 ar trebui să treacă la RIPv2, să restricționeze folosirea protocolului doar la rețeaua internă sau, dacă niciuna dintre aceste opțiuni nu este viabilă, să folosească listele de control al accesului pentru a restricționa traficul RIPv1 doar la routerele vecine.