TCP Middlebox Reflection: nuevo vector de ataque DDoS

Los ataques de denegación de servicio distribuidos (DDoS) tienen como objetivo impactar en el normal funcionamiento de un servidor. En el caso de uso más común, aunque no el único, los ciberatacantes utilizan botnets para enviar miles y miles de solicitudes y provocar este tipo de problemas, pero recientemente se ha descubierto un nuevo ataque capaz de aprovechar hasta los dispositivos con pocos recursos. Una variante es el DDoS reflejado (DrDoS), con el que se busca que los paquetes de petición o acceso al servicio que se desea utilizar como base para el ataque, sean originados con un pequeño tamaño para generar el mayor número posible de ellos, empleando posteriormente un factor de amplificación para aumentar el tamaño y complejidad de los paquetes de respuesta.

El pasado mes de agosto 2021 investigadores de la Universidad de Maryland y la Universidad de Colorado en Boulder publicaron una investigación en la que mostraban que había cientos de miles de middleboxes que tenían el potencial de realizar ataques DrDoS sobre TCP. Este nuevo método de reflexión TCP permitiría incrementar la amplificación de los ataques, produciendo órdenes de magnitud más amplificados que los ataques existentes basados en UDP.

Los middleboxes son dispositivos de red de equipos que se encargan de transformar, inspeccionar y filtrar el tráfico para fines diferentes al envío de paquetes, como, por ejemplo, firewalls, NAT, balanceadores de carga, IDS, etc. También se emplean en algunos países con el objetivo de censurar contenido restringido, así como en los sistemas de seguridad de empresas y organismos oficiales.

Los resultados de esa investigación sugieren que este ataque es tan peligroso como los mayores ataques de amplificación basados en UDP ya existentes. Se detectaron cientos de direcciones IP con middleboxes que ofrecían un factor de amplificación mayor que memcached (51.000x), y cientos de miles de direcciones IP que ofrecían factores de amplificación mayores que DNS y NTP.

Figura 1. Factores de amplificación del ataque. Fuente: Geneva.

Un ejemplo de este tipo de ataques ya se ha producido, según recoge Akamai en su post, en el que informa de la detección y el análisis de una serie de ataques TCP reflejados, con un máximo de 11 Gbps a 1,5 Mpps (millones de paquetes por segundo), dirigidos contra sus clientes, y que empleaban la técnica de TCP Middlebox Reflection. Adicionalmente, Akamai Security Operations Command Center ha monitorizado múltiples campañas de ataques a middleboxes, dirigidas a los sectores de banca, viajes, juegos, medios de comunicación y alojamiento web.

Funcionamiento

Este tipo de ataques se producen debido a que los servidores afectados no siguen las especificaciones del TCP. Este protocolo, antes de que se autorice el establecimiento de una conexión, requiere una comprobación (handshake) triple, compuesta por un paquete SYN enviado por el cliente, una respuesta de SYN+ACK del servidor y una confirmación mediante un paquete ACK del cliente. Esta comprobación limita la posibilidad de que la aplicación basada en TCP se utilice como amplificador porque la confirmación ACK debe venir de la compañía con la que se quiere establecer la conexión. En el caso de TCP Middlebox Reflection, no sería así porque los servidores mal configurados envían los paquetes sin que el destinatario realice esta comprobación.

Los atacantes podrían elaborar varias secuencias de paquetes TCP que contuviesen cabeceras de solicitud HTTP; en estas cabeceras HTTP, se podría utilizar un nombre de dominio para un sitio bloqueado como cabecera de host. Cuando estos paquetes son recibidos por el middlebox que está configurado para no permitir el acceso al sitio, dicho middlebox responde, normalmente con cabeceras HTTP y, en algunos casos, con páginas HTML completas. Estas respuestas proporcionan a los atacantes una oportunidad de reflexión y, en ocasiones, un importante factor de amplificación.

Figura 2. Tipos de ataques. Fuente: Geneva (las flechas gruesas denotan la amplificación y las rojas los paquetes que desencadenan la amplificación).

Los atacantes podrían aumentar la potencia de sus ataques, además de ahorrar recursos, a través de vectores de amplificación, falseando (spoofing) la IP del objetivo y enviando un paquete relativamente pequeño de datos a un servidor mal configurado. Akamai observó que un único paquete SYN con un payload de 33 bytes producía una respuesta de 2.156 bytes, lo que aumentaba su tamaño en un 6,533%. Algunas implementaciones de middlebox permiten a los atacantes agregar floodings SYN, ACK o PSH+ACK al ataque, además del propio ataque TCP volumétrico.

Escaneo y detección

En el paper con la investigación de Usenix se describen los dos métodos empleados para el escaneo de direcciones IPv4 para la detección de middleboxes potencialmente vulnerables:

• Paquete SYN con secuencia numérica s, seguido de PSH+ACK con secuencia numérica s+1 que contiene una solicitud de payload HTTP GET para un recurso prohibido (una URL que el middlebox está configurado para bloquear).
• Paquete SYN con una solicitud de payload HTTP GET para un recurso prohibido.

Utilizando estos métodos de escaneo, un análisis realizado por Shadowserver ha reportado una cifra de 18,8 millones de direcciones IPv4 vulnerables a ataques DDoS de reflexión (DrDoS) TCP en middleboxes. Repartidos por países, el top 3 lo ocupan China, Irán e Indonesia, respectivamente.

Desde INCIBE-CERT se está evaluando la información relativa a IP de dispositivos middlebox en España que podrían ser utilizados para llevar a cabo ataques DDoS mediante esta nueva técnica de amplificación.

Recomendaciones y soluciones

Las recomendaciones para mitigar los efectos producidos por este tipo de ataques DDoS de reflexión, que podrían afectar a usuarios/organizaciones que disponen de un middlebox que está siendo abusado o está mal configurado, son:

• Limitar el tamaño de las respuestas de bloqueo efectuadas por los middleboxes y optar por devolver un simple RST para las conexiones TCP prohibidas para así reducir la amplificación de los ataques.
• Fomentar middleboxes bidireccionales, que permitan ver el tráfico tanto por parte del cliente como del servidor y sean capaces de inferir modificaciones en los paquetes, como podría ser el uso de técnicas de spoofing para cambiar el origen de las comunicaciones.
• Configurar los middleboxes únicamente para responder y ser receptivos al tráfico proveniente de la región para la que están configurados.
• Deshabilitar respuestas de tráfico HTTP, ya que se trata de un protocolo obsoleto en detrimento de HTTPS.
• En el caso de cortafuegos, las listas de control de acceso (ACL) también podrían utilizarse para bloquear patrones incorrectos conocidos, por ejemplo, una regla como la que aparece a continuación, para descartar cualquier paquete SYN procedente del puerto 80 con una longitud de paquete superior a 100: deny tcp any eq 80 host x.x.x.x match-all +syn -ack packet-length gt 100.
• La base de este ataque a los middleboxes radica en una falta de control en el estado de la comunicación TCP. Los paquetes SYN son usados en esta comunicación a la hora de establecer el saludo a tres bandas y solo en el primero que envía cada parte. No son usados para la transferencia de datos en sí, por lo que cualquier paquete con el flag SYN activado y que sobrepase de cierto tamaño podría ser efectivamente detectado y bloqueado.
• Sistemas antispoofing o módulos destinados a detectar paquetes fuera de orden.

Dado que los middleboxes falsean (spoofing) la dirección IP del tráfico que generan, esto significa que el atacante podría hacer que la dirección IP de origen del tráfico reflejado sea cualquier dirección IP detrás del middlebox.

Para solucionar este problema de manera global sería deseable que todos los fabricantes actualizasen sus middleboxes y que todas las organizaciones que hayan desplegado una máquina de estas características también actualizasen su infraestructura. Por tanto, se recomienda permanecer a la espera de las correspondientes actualizaciones de seguridad de los dispositivos.