Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ciberataques DrDoS basados en el protocolo TFTP

Fecha de publicación 20/05/2021
Autor
INCIBE (INCIBE)
ciberataques DrDoS basados en el protocolo TFTP

Continuando con la serie de artículos dedicados a los ataques “DrDoS: características y funcionamiento”, hoy abordamos el protocolo TFTP como herramienta utilizada para este tipo de ataques.

TFTP

El protocolo TFTP (Trivial File Transfer Protocol), proporciona un medio estandarizado para la transferencia de archivos entre sistemas conectados en red basado en una arquitectura cliente-servidor y utilizando UDP para el intercambio de peticiones de lectura y escritura de archivos, a través del puerto 69. Este protocolo no dispone de ninguna capacidad de cifrado ni de autentificación y no dispone de funciones para listar el contenido de directorios o carpetas.

Aun tratándose de un protocolo obsoleto, sigue siendo muy utilizado, ya que los fabricantes encuentran en él un medio cómodo, fácil y rápido para traspasar archivos entre dispositivos que cuentan con poca capacidad de proceso y memoria dedicada para su gestión, como pueden ser enrutadores, conmutadores y centrales telefónicas para VoIP. Suele ser utilizado para cargar actualizaciones de firmware y configuraciones en estos dispositivos, y como base del funcionamiento para el arranque y carga por red del sistema operativo de dispositivos, conocido como arranque PXE (Preboot eXecution Environment).

Esquema de funcionamiento de TFTP

- Figura 1. Esquema de funcionamiento de TFTP. -

Vector de ataque

En 2016 se documentó una vulnerabilidad basada en las propias especificaciones de funcionamiento del protocolo, RFC 783, y que afecta, por tanto, a todos los equipos que tengan activado el protocolo TFTP.

Mediante la explotación de esta vulnerabilidad, podrían llevarse a cabo ataques DrDoS con un factor de amplificación de 60 veces la petición original y pudiendo ser retransmitida hasta 6 veces.

Esquema de ataque DrDoS TFTP

- Figura 2. Esquema de ataque DrDoS TFTP. -

La base de funcionamiento del ataque DrDoS por TFTP sigue el mismo patrón que el resto de los ataques de este tipo con otros protocolos. El atacante localiza un servidor TFTP y lanza peticiones de pequeño tamaño denominadas RRQ o WRQ, según sea una operación de lectura o escritura, que incluyen nombre de archivo y modo de transferencia de la operación. Tras modificar las peticiones, para falsificar la dirección IP de origen, spoofing, se coloca la dirección IP de la víctima y se manipulan distintos parámetros del paquete, «flaws», para resultar incorrectos y requerir la retransmisión con el solicitante, a la vez que se solicita una respuesta ampliada para que el tamaño del paquete sea mayor.

El resultado es que el servidor TFTP, para cada petición recibida, reenvía los paquetes de respuesta ampliada en tamaño varias veces, al equipo víctima. Esto se vería multiplicado por cada sistema perteneciente a la botnet.

El éxito de este ataque se debe a que las peticiones y respuesta por UDP no requieren identificación ni autenticación entre extremos para establecer conexión, por lo que el servidor TFTP procesa todas las peticiones recibidas.

Prevención

Cualquier equipo que tenga activo el servicio TFTP es susceptible de convertirse en víctima de este ataque por lo que la única prevención posible es desactivar este protocolo y habilitar la transferencia de archivos por otros medios similares alternativos, pero que ofrecen un mayor nivel de protección, como pueden ser SCP (Secure Copy Protocol) y SFTP (SSH File Transfer Protocol) con más restricciones y medidas de seguridad, que garantizan una transferencia de archivos más segura. Tampoco existen configuraciones específicas sobre el propio servidor TFTP para que no sea vulnerable.

Por medio del siguiente comando de nmap, se puede comprobar si existe algún servidor TFTP en ejecución.

nmap -sV -sC -sU -p 69 [Dirección IP]

En el caso de que no sea posible sustituir o eliminar este protocolo de las funcionalidades del sistema, es conveniente aplicar las siguientes recomendaciones:

  • Solicitar al proveedor de servicios de internet (ISP) filtros antispoofing. Los proveedores de servicios de Internet pueden rechazar tráfico con direcciones falsificadas, no accesibles a través de la ruta real del paquete. Esto evitará que el servidor TFTP propio reciba y procese consultas que sean susceptibles de un ataque de denegación de servicio amplificado a través de este protocolo.
  • Desplegar los servidores TFTP tras un cortafuego. El firewall debe configurarse con reglas que detecten y filtren peticiones dirigidas por UDP al puerto 69 del servidor TFTP, que tengan las direcciones IP de origen falseadas, configuración antispoofing y definir reglas que incluyan «listas blancas» de direcciones IP autorizadas a conectar con el servidor TFTP.
  • Limitar la visibilidad del servidor TFTP en Internet. Siempre que sea posible, limitar el acceso al servidor para que no sea «público» mediante el filtrado de direcciones IP que pueden acceder al servidor.
  • Despliegue de sistemas de detección y bloqueo de intrusiones (IDS/IPS). Mediante soluciones tipo Gestor de Eventos e Información de Seguridad, conocidas por sus siglas en inglés como SIEM, es posible identificar anomalías en el tráfico TFTP y detectarlas rápidamente para aplicar una respuesta inmediata que limite el impacto de los ataques que se produzcan.
  • Definir protocolo de actuación para incidentes DrDoS por TFTP. Disponer de un plan de actuación previamente establecido frente a este tipo de ataques que permita una respuesta rápida y eficaz. De lo contrario, se puede ocasionar fallos y complicaciones en otros componentes, incrementando el impacto producido.
  • Mantener los sistemas actualizados y parcheados. Para prevenir que la explotación de otras vulnerabilidades pueda permitir a un atacante lanzar un ataque DrDoS TFTP sobre los equipos.

Detección

Una actividad intensa e inusual en la actividad relacionada con el tráfico UDP en el puerto 69, puede ser un indicio de estar siendo atacados. Un análisis del tráfico a la dirección origen de las peticiones que se reciben confirmaría la participación de nuestro sistema en el ataque reflejado.

Si se confirman las sospechas, se debe actuar con prontitud para cortar la participación del servidor en el ataque. En este caso, podría implicar repercusiones legales ya que nuestros sistemas han atacado a los de la víctima.

El registro de actividad, logs, del servidor TFTP, puede servir de ayuda, pero plantea dificultades a la hora de ser analizado en busca de evidencias, ya que dependen de cada implementación y del volumen de registros que se generen.

Respuesta y recomendaciones

Si se confirman los indicios y se considera que se está produciendo un ataque de denegación de servicio sobre los servidores TFTP propios, es importante saber cómo actuar y hacerlo cuanto antes. En este punto es cuando debe aplicarse el protocolo de actuación y gestión de incidentes definidos previamente para este tipo de ataques, los cuales deberían de contemplar las siguientes acciones:

  • Recopilar la mayor cantidad de datos posible sobre el incidente. Se tendrá que realizar una breve investigación para identificar direcciones IP de origen y destino, puertos y posibles direcciones URL.
  • Bloquear y filtrar tráfico no deseado. Los datos recopilados anteriormente podrán ser utilizados para configurar reglas de filtrado en cortafuegos y enrutadores para impedir que lleguen peticiones al servidor TFTP propio. También es conveniente contactar con el proveedor de Internet y de hosting para que puedan aplicar en su ámbito de actuación filtros que bloqueen la inundación de tráfico no autorizado.
  • Obtener asistencia técnica. Bien con los proveedores de servicios técnicos de TI que tuvieran contratados o a través de los centros de respuesta a incidentes de seguridad de carácter público de referencia, conocidos como CERT, como puede ser INCIBE-CERT.

Una vez que el ataque ha cesado y se verifica que el sistema se ha restablecido con normalidad, se debe proceder al análisis de las causas que lo han provocado, identificar las vulnerabilidades que lo han posibilitado y definir un plan de acción que permita eliminar las debilidades del sistema atacado o, al menos, reforzar las medidas de prevención para evitar que vuelva a ocurrir.

Conviene poner el foco en los dispositivos que utilizan la transferencia de archivos vulnerable y que son accesibles desde Internet, analizando la necesidad de exponerlo públicamente y llevar a cabo su bastionado, en caso de ser necesario.

Del mismo modo, con independencia de la afectación del ataque sufrido, se recomienda comunicar a las autoridades el suceso como cualquier tipo de delito tecnológico.