lunes, 26 de enero de 2009

Ataques Amplificados -RELOADED-

El mercado de la seguridad informática tiene una gran capacidad para reinventarse y redescubrirse continuamente. Todos los años creamos el producto que no puede faltar en nuestra red, y descubrimos la nueva amenaza que finalmente destruirá la Internet.

Los ataques amplificados parecían algo del pasado, pero han renacido y más peligrosos que nunca (?)

¿ Qué es un Ataque Amplificado ?

Básicamente, la idea es generar una respuesta muy grande a partir de un paquete muy pequeño, que por supuesto llegará a la víctima del ataque.

Uno de los ataques amplificados más conocidos es el Smurf attack, en donde enviábamos un paquete ICMP a una dirección de broadcast, y la respuesta de todos los hosts que se encontraban en esa red, retornaba a una dirección de origen spoofeada que correspondía a la víctima.

Atacando con los DNS

Hace solo unos días, el Internet Storm Center de SANS, reportó que una gran cantidad de servidores DNS están recibiendo un "." como consulta, lo que equivale a consultar por la lista de los root nameservers.


~ # host -t ns .
. name server M.ROOT-SERVERS.NET.
. name server H.ROOT-SERVERS.NET.
. name server K.ROOT-SERVERS.NET.
. name server J.ROOT-SERVERS.NET.
. name server I.ROOT-SERVERS.NET.
. name server F.ROOT-SERVERS.NET.
. name server C.ROOT-SERVERS.NET.
. name server B.ROOT-SERVERS.NET.
. name server L.ROOT-SERVERS.NET.
. name server A.ROOT-SERVERS.NET.
. name server E.ROOT-SERVERS.NET.
. name server D.ROOT-SERVERS.NET.
. name server G.ROOT-SERVERS.NET.
~ #


Obviamente esto se encuentra relacionado a un ataque amplificado, en donde la dirección IP que realiza la consulta se encuentra spoofeada por la dirección IP de la víctima, la cual recibirá la respuesta del servidor DNS. La clave para que este ataque sea efectivo, se encuentra en que una gran cantidad de hosts, o una red de botnets, realicen innumerables consultas a muchos servidores DNS, que le responderán a la víctima y provocaran un DoS.

Si quieren comprobar si su DNS es susceptible de ser usado en un ataque de este tipo, pueden verificar si responde a la consulta de "." con el comando "host -t ns .", como se muestra en el ejemplo, con el comando "dig . NS @servidordns", o desde esta web que puso on-line SANS.

Atacando con SNMP

Otro protocolo que utiliza UDP y es susceptible a este tipo de ataques es SNMP. Aquí la clave es encontrar sistemas o dispositivos que posean la community por default, como "public" o "private", y luego consultar información que genere una respuesta muy grande.

Quienes asistieron a la ultima edición de la ekoparty Security Conference, habrán presenciado la charla de los alemanes Simon Rich y Daniel Mende sobre botnets, en donde demostraron un ataque amplificado utilizando SNMP. Este ataque es mucho mas grave aun si tenemos en cuenta la reciente vulnerabilidad en el sistema de autenticación que posee la versión 3 de SNMP.

Pueden descargar el PoC desde aquí.


Leonardo Pigñer
Servicios Profesionales