Aumentan ataques DDoS que utilizan amplificación SNMP

Aumentan ataques DDoS que utilizan amplificación SNMP

IDG

 

Los atacantes están crecientemente abusando de dispositivos configurados para responder públicamente a las solicitudes sobre el internet de SNMP (Simple Network Management Protocol) para amplificar los DDoS.

 

Esta técnica de amplificación, que también es conocida como reflexión, puede teóricamente funcionar con cualquier protocolo que es vulnerable al spoofing de direcciones IP y puede generar muchas respuestas a peticiones pequeñas. Los atacantes pueden realizar solicitudes que se original desde la dirección IP de su víctima para engañar a los servidores que las aceptan sobre estos protocolos para inundar a las víctimas con datos.

 

Muchos ataques DDoS en el año pasado han utilizados DNS mal configurados y servidores NTP para estas amplificaciones. Sin embargo, dispositivos que soporta SNMP, un protocolo diseñado para habilitar el monitoreo de dispositivos en una red, puede ser abusado si el servicio SNTP está directamente expuesto al internet.

 

Los dispositivos habilitados con SNMP pueden ser encontrados en casa y en empresas por igual e incluys impresoras, switches, routers y firewalls.

 

Desde el 11 de abril, PLXser (Prolexic Security Engineering Response Team), parte de Akamai Technologies, ha identificado 14 campañas diferentes que utilizaron la reflexión por SNMP.

 

Casi la mitad del tráfico reflejado SNMP malicioso provino de direcciones IP en estados unidos y un 18% de China.

 

Una de las herramientas utilizadas para lanzar los recientes ataques fue creada en el 2011 por un grupo de hackers llamado Team Poison y puede enviar peticiones a los SNMP vulnerables para activar respuestas que pueden ser hasta 1,600 veces más largo que lo solicitado.

 

Hasta hace cerca de tres años, los dispositivos SNMP eran fabricados utilizando SNMP versión 2 y eran entregados comúnmente con el protocolo abierto, accesible al público por defecto. “Dispositivos que utilizan SNMP v3 son más seguros. Para detener estos viejos dispositivos de participar en ataques, los administradores de red deben revisar si este protocolo está presente y apaga el acceso público”, dijo PLXsert

 

La amplificación por SNMP no es realmente nueva, dijo Sean Power, administrador de operaciones de seguridad en el vendedor de protección DOS arrest Internet Security.

 

“El legítimo tráfico SNMP no tiene la necesidad de dejar su red y debería ser prevenida de hacerlo. El ataque existe porque muchas organizaciones fallan en prevenir esto”, añadió.

 

Es importante para los dueños de redes el resguardar los servicios que pueden ser usados como reflexión de DDoS y amplificación como DNS, SNMP, NTP y voz sobre IP. Esto “es parte de ser un buen ciudadano del Internet”, dijo Tom Cross, director de investigación de seguridad para Lancope.

Leave a comment

Send a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *