Un antiguo ataque DoS afecta a dispositivos actuales

por | 24.11.2016

Sabemos que una conexión TCP está definida por dos pares IP:Puerto, uno para el origen y otro para el destino:

conexion tcp

El puerto del cliente es aleatorio (aunque esto no es del todo cierto en algunas implementaciones). Si un atacante conociese este puerto podría enviar paquetes ICMP del tipo “destination un reachable” con el código “port unreachable” al servidor y cortar la conexión. Este tipo de paquetes están identificados por el tipo 3 y el código 3 en ICMP y se conocen desde hace más de 20 años.

Si el atacante no conoce el puerto origen del cliente, otra forma de implementar este ataque es enviar miles de paquetes con el mismo mensaje pero para todos los posibles puertos origen. No son muchos los paquetes que hay que enviar, ya que el número de puertos supera por poco los 65000, y hay un rango de ellos que no se utilizan como puertos de origen, lo que reduce algo los paquetes que necesita enviar el atacante. Con los anchos de banda que tenemos en la actualidad, es un ataque que se implementa en tiempos muy cortos.

A diferencia de los ataques DDoS que se han producido en las últimas semanas, “destination unreachable” no requiere grandes cantidades de paquetes para ser efectivos. Recordemos los DDoS que se han lanzado contra Dyn DNS o contra el blog de Brian Krebs, que alcanzaron unos 700 Gbps. En su lugar, un portátil con recursos muy limitados y una conexión normal para los estándares actuales podría llevarlos a cabo utilizando anchos de banda tan reducidos como 18 Mbps.

Podríamos pensar que algo tan antiguo ya no funcionará con los firewalls con los que contamos hoy en día, pero en el SOC del operador danés TDC han descubierto que no es así, y que sí que afecta a dispositivos supuestamente seguros. Han llamado a este ataque BlackNurse (más de 20 años después todavía no tenía un nombre) y ya está confirmado que afecta a los siguientes equipos:

  • Cisco ASA: 5515 y 5525
  • Algunas versiones de Palo Alto
  • SonicWall

En el siguiente enlace se puede acceder al informe técnico de TDC:

http://soc.tdc.dk/blacknurse/blacknurse.pdf

Por ahora, una posible solución es deshabilitar los mensajes ICMP de tipo 3 en las interfaces expuestas a Internet, aunque en determinados modelos como los ASS 5500 esto podría provocar problemas de conectividad en VPNs IPSec y PPTP

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *