Skip to main content
Dark background with blue code overlay
Blog

TCP Middlebox Reflection: Coming to a DDoS Near You

Akamai blue wave

Written by

Security Intelligence Response Team

March 01, 2022

Escrito por: Equipo de respuesta a incidentes e inteligencia en seguridad de Akamai

Resumen ejecutivo

  • Durante la semana pasada, los investigadores en seguridad de Akamai han detectado y analizado una serie de ataques de reflexión TCP, con un pico de 11 Gbps a 1,5 Mpps, que se nivelaron con los clientes de Akamai.

  • El ataque, amplificado con una técnica llamada TCP Middlebox Reflection, abusa de firewalls vulnerables y sistemas de filtrado de contenido para reflejar y amplificar el tráfico TCP a una máquina víctima, con lo que se crea un potente ataque DDoS. 

  • Los middleboxes van desde censores de estado nacional, como el gran firewall de China, hasta sistemas de filtrado de contenido empresarial y se pueden encontrar en todo el mundo.

  • Los investigadores de la Universidad de Maryland y de la Universidad de Colorado presentaron un estudio teórico de la nueva técnica el pasado mes de agosto; sin embargo, este es el primero que vemos en vivo y en bruto.

  • Este tipo de ataque disminuye peligrosamente la barra de ataques DDoS, ya que el atacante necesita tan solo 1/75 (en algunos casos) del ancho de banda desde un punto de vista volumétrico.

  • Algunas implementaciones de Middlebox permiten a los atacantes agregar inundaciones SYN, ACK o PSH+ACK al ataque, además del ataque TCP volumétrico.

  • Se han observado ataques contra organizaciones en las industrias de banca, viajes, videojuegos, medios y alojamiento web.

  • Aunque el tráfico de ataque actual es relativamente pequeño, prevemos que este tipo de ataque crecerá en el futuro, debido a la gran amplificación que ofrece a un atacante. 

Introducción

En las últimas semanas, los investigadores de Akamai comenzaron a observar numerosas campañas de ataques distribuidos de denegación de servicio (DDoS) contra clientes de Akamai que habían incluido inundaciones SYN y altos volúmenes de tráfico: hasta 11 Gbps a 1,5 millones de paquetes por segundo (Mpps). Al examinar los paquetes TCP utilizados en el ataque, nos dimos cuenta de que están aprovechando una nueva técnica conocida como TCP Middlebox Reflection.

TCP Middlebox Reflection se divulgó por primera vez como un nuevo vector de ataque DDoS en agosto de 2021 en una publicación de investigadores de la Universidad de Maryland y la Universidad de Colorado Boulder. "Weaponizing Middleboxes for TCP Reflected Amplification" ilustró cómo los dispositivos como firewalls y sistemas de filtrado de contenido se pueden aprovechar para los ataques de reflexión TCP. La amplificación de DDoS de Middlebox es un tipo completamente nuevo de ataque de reflexión/amplificación de TCP que representa un riesgo para Internet.

Esta es la primera vez que hemos observado esta técnica en circulación. En esta entrada de blog, analizaremos el vector de ataque, explicaremos cómo funciona, mostraremos ejemplos de los ataques que hemos encontrado y compartiremos información sobre la amenaza que representa para una red, así como técnicas de mitigación que pueden ayudar a los defensores durante los ataques.  

TCP Middlebox Reflection: un nuevo vector de ataque DDoS

Un Middlebox es un dispositivo integrado en la red que se ubica en la ruta entre dos hosts finales de comunicación y puede monitorear, filtrar o transformar flujos de paquetes sobre la marcha. A diferencia de los dispositivos de red tradicionales como enrutadores y switches, los middleboxes funcionan no solo en los encabezados de los paquetes, sino también en sus cargas útiles mediante la inspección profunda de paquetes (DPI). 

"Weaponizing Middleboxes for TCP Reflected Amplification"

Como se mencionó anteriormente, TCP Middlebox Reflection se divulgó primero en la publicación "Weaponizing Middleboxes for TCP Reflected Amplification". En ella, los autores intentan demostrar la viabilidad y la efectividad de la amplificación basada en TCP, en comparación con las técnicas conocidas basadas en UDP. Al aprovechar el incumplimiento de TCP en los middleboxes de la red, el equipo fue capaz de crear ataques de amplificación reflectiva basados en TCP altamente eficaces.   

Los autores de la investigación descubrieron que algunos de estos sistemas de middlebox no tienen en cuenta los estados de transmisión TCP cuando intentan aplicar políticas de filtrado de contenido. Estos boxes se pueden hacer para responder a los paquetes TCP fuera del estado. Estas respuestas a menudo incluyen contenido en sus respuestas destinado a "secuestrar" los navegadores de los clientes en un intento de evitar que los usuarios accedan al contenido bloqueado. Esta implementación de TCP rota puede, a su vez, ser vulnerada para reflejar el tráfico de TCP, incluidos los flujos de datos, a las víctimas de DDoS. 

Los autores de la investigación señalan que hay cientos de miles de sistemas de middlebox vulnerables a esta vulneración de reflexión TCP en todo el mundo. En sus pruebas, descubrieron tasas de amplificación que superan los vectores de reflexión UDP populares y vulnerados a menudo.  Algunos de los sistemas vulnerables que se encuentran en circulación ofrecen una tasa de amplificación mayor que algunos de los vectores UDP más difíciles, como NTP, RIPv1 e incluso los infames memcached.

El ataque: vulneración del incumplimiento de TCP en los middleboxes

Los atacantes pueden crear varias secuencias de paquetes TCP que contienen encabezados de solicitud HTTP; en estos encabezados HTTP, se utiliza un nombre de dominio para un sitio bloqueado como encabezado de host. Cuando el middlebox que está configurado para impedir el acceso al sitio recibe estos paquetes, el middlebox responde, normalmente con encabezados HTTP y, en algunos casos, con páginas HTML completas. Estas respuestas proporcionan a los atacantes una oportunidad de reflexión y, en algunos casos, un factor de amplificación significativo.

Para vulnerar estos boxes para ataques distribuidos de denegación de servicio de reflejo (DRDoS), un atacante suplanta las IP de origen de la víctima, lo que hace que se dirija tráfico de respuesta a la víctima desde los middleboxes. Los sistemas Middlebox que se han configurado de esta manera se pueden encontrar en redes en todo Internet, ya que los utilizan comúnmente los estados nación para hacer cumplir las leyes de censura o mediante políticas de filtrado de contenido empresarial.

 

Fig. 1. Respuestas de ejemplo de un middlebox vulnerable Fig. 1. Example responses from vulnerable middlebox

En el tráfico de ejemplo de la Figura 1, puede observar un middlebox aprovechado en ataques reales afectados por este problema. El envío de un paquete SYN único con una carga útil de 33 bytes activará una respuesta de 2156 bytes; este es un factor de amplificación de 65x (6,533 %). Una amplificación como esta sirve como multiplicador de fuerza porque un atacante necesita menos ancho de banda para iniciar el ataque que los defensores para lidiar con él.

Los ataques de TCP volumétricos anteriormente requerían que un atacante tuviera acceso a una gran cantidad de máquinas y un gran ancho de banda, normalmente un escenario reservado para máquinas muy robustas con conexiones de gran ancho de banda y capacidades de suplantación de origen o botnets. Esto se debe a que hasta ahora no hubo un ataque de amplificación significativo para el protocolo TCP; fue posible una pequeña cantidad de amplificación, pero se consideró casi insignificante, o al menos mediocre e ineficaz en comparación con las alternativas UDP.  

Si desea unir una inundación SYN a un ataque volumétrico, deberá impulsar una relación 1:1 de ancho de banda hacia la víctima, normalmente en forma de paquetes de SYN acolchados. Con la llegada de la amplificación de middlebox, esta antigua concepción de los ataques TCP ya no es verdadera. Ahora un atacante necesita tan solo 1/75 (en algunos casos) la cantidad de ancho de banda desde un punto de vista volumétrico y, debido a las peculiaridades de algunas implementaciones de middlebox, los atacantes obtienen una inundación SYN, ACK o PSH+ACK de forma gratuita.

 

Fig. 2. El middlebox ignora al RST Fig. 2. Middlebox ignores RST

En la Figura 2, podemos ver un middlebox que responde a un paquete SYN, pero lo importante aquí es que, en respuesta a un paquete SYN, el middlebox (por razones desconocidas) responde con un paquete SYN propio. Para empeorar las cosas, está enviando varios paquetes SYN, todos ellos cargados con datos. Otra cosa importante que hay que tener en cuenta aquí es que el middlebox ignora completamente los paquetes RST de la "víctima" y continúa empujando sus datos a través del cable, lo que continúa llevando paquetes SYN llenos de datos hasta finalizar.  

Otro hallazgo preocupante de los autores originales es la existencia de boxes que manejan paquetes RST. Estos boxes, al recibir un paquete RST, reaccionan reenviando el paquete de datos que ya transmitieron que activó el RST en primer lugar; esto, a su vez, generará otro RST y otro paquete de datos. Esto significa que hay casos en los que un box puede terminar y terminará en lo que equivale a un "bucle infinito" de amplificación de autoperpetuación. 

En esta demostración, estos paquetes RST se envían desde la "víctima" porque ningún servicio TCP escucha en TCP/45678, y en realidad este es el mejor escenario posible. Como veremos en la siguiente captura de pantalla, si un atacante apunta a un puerto con un servicio TCP en ejecución, las cosas solo empeoran.

 

Fig. 3. Respuestas de ejemplo de middlebox vulnerable dirigidas a un servicio TCP Fig. 3. Example responses from vulnerable middlebox targeting a TCP service

En la Figura 3, vemos que un servicio TCP se está ejecutando ahora en TCP/45678. Este ataque volumétrico ahora se convierte en un ataque de agotamiento de recursos: Estos paquetes SYN dirigidos a una aplicación/servicio TCP harán que la aplicación intente responder con varios paquetes SYN+ACK y mantenga abiertas las sesiones TCP, a la espera del resto de la negociación en tres pasos. Dado que cada sesión TCP se mantiene en este estado de media apertura, el sistema consumirá sockets que, a su vez, consumirán recursos, hasta llegar potencialmente al agotamiento completo de los recursos.

Ataques observados: un vector en crecimiento

El Centro de control de operaciones de seguridad de Akamai ha observado varias campañas de ataque de middlebox dirigidas a las industrias de la banca, viajes, videojuegos, medios y alojamiento web. Los ataques observados que aprovechan esta técnica son por ahora todavía pequeños en comparación con otros vectores, pero parecen estar creciendo en popularidad y tamaño.

Los primeros ataques de la serie alcanzaron un pico de 50 Mbps. Los agentes detrás de estas campañas recientes parecen estar perfeccionando su capacidad o afinando su conjunto de reflectores favorecidos. Los ataques más recientes dirigidos a los mismos conjuntos de víctimas que utilizan el mismo vector de middlebox alcanzan un máximo de 2,7 Gbps y 11 Gbps, con un ataque de 11 Gbps que alcanza los 1,5 Mpps.

Aunque estos ataques son relativamente pequeños por ahora, demuestra que los atacantes comienzan a detectar la técnica de ataque de middlebox y comienzan a aprovecharla como otra herramienta en su arsenal DDoS.

Sugerencias de mitigación

Los ataques de reflexión de middlebox son nuevos, pero no son increíblemente únicos. Su verdadera amenaza proviene de la disminución de la barra de atacantes que desean aprovecharlos. Dicho esto, las inundaciones SYN acolchadas han sido una técnica común que los atacantes han aprovechado durante años.  La mitigación de un ataque de middlebox en ese sentido empleará las mismas técnicas y tácticas.

En aplicaciones del mundo real, con muy pocas excepciones, los paquetes SYN se utilizan para iniciar el protocolo de negociación TCP; no se utilizan para la transmisión de datos. Esto significa que debe sospecharse de las inundaciones SYN con una longitud superior a 0 bytes además pueden ser una métrica que puede aprovechar para la mitigación.

Los desafíos SYN también pueden ser eficaces para prevenir los efectos de agotamiento de recursos de middlebox.  El middlebox no manejará correctamente el paquete de desafío resultante, por lo que los paquetes SYN no conseguirán traspasar los sistemas de mitigación y, dado que el protocolo de negociación nunca se completará, los flujos de datos también se eliminarán antes de llegar a los servidores y aplicaciones.

Otros métodos pasarían por utilizar una combinación de módulos de mitigación antisuplantación y fuera del estado que pudieran frustrar el ataque fácilmente, y utilizar herramientas de firma como snort para descartar los patrones de texto plano como se ve en el tráfico de respuesta. Las listas de control de acceso (ACL) del firewall también se pueden utilizar para bloquear los patrones incorrectos conocidos; por ejemplo, una regla como:

deny tcp any eq 80 host x.x.x.x match-all +syn -ack packet-length gt 100

Esta regla omitiría cualquier paquete SYN procedente del puerto 80 con una longitud de paquete superior a 100.

Conclusión

Cuando se descubren nuevos vectores de ataque, siempre se presenta la duda de si los atacantes comenzarán a aprovecharlos y cuándo. El ataque de middlebox permaneció en la teoría mucho más tiempo de lo que anticipamos inicialmente; de hecho pasaron meses hasta que lo vimos realmente aprovechado. 

Ahora que se ha probado y verificado TCP Middlebox Reflection en redes del mundo real, es probable que el atacante continúe adoptando este ataque. También es probable que los atacantes intenten mejorar y expandir las capacidades del ataque y su impacto global. 

El objetivo del equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai es rastrear, realizar, documentar y publicar nuevos descubrimientos para proteger la seguridad y la estabilidad de Internet en su conjunto. Seguiremos vigilando estos ataques y actualizaremos este blog en consecuencia. 

Referencias



Akamai blue wave

Written by

Security Intelligence Response Team

March 01, 2022