Inicio / Blog / Ciberataques DrDoS basados en el protocolo UBNT

Ciberataques DrDoS basados en el protocolo UBNT

Publicado el 26/08/2021, por INCIBE
Ciberataques DrDoS basados en el protocolo UBNT

Tras el estudio preliminar de los ciberataques de denegación de servicio (DoS), junto con algunas de sus variantes expuestas en el artículo “DrDoS: características y funcionamiento”, en este nuevo artículo se abordará cómo el protocolo de UBNT es utilizado como una herramienta para desarrollar un ciberataque DoS en su variante DrDoS.

UBNT

El fabricante Ubiquiti Networks, especializado en dispositivos de red para telecomunicaciones inalámbricas, desarrolló el protocolo propietario, UBNT Discover, para facilitar la interconexión de sus dispositivos, de forma que estos pudieran descubrirse automáticamente entre sí. Una característica de este protocolo es que opera sobre el puerto 10001 por UDP, y otra es que está asociado a la tarjeta de red de los dispositivos, como los puntos de acceso, de forma predeterminada.

Su sencillo funcionamiento se basa en una transmisión broadcast, directa o indirecta, en la que se envía una petición con los bytes “0x01 0x00 0x00” cada 60 segundos (configuración Device Discovery Background Scan) o cada 30 segundos (por el protocolo CDP v1), desde un dispositivo Ubiquiti a otro que tenga el servicio UBNT Discover activado, tras lo cual, el receptor responde con los datos necesarios para que ambos equipos se asocien.

El uso de los dispositivos inalámbricos de Ubiquiti está ampliamente extendido para llevar la conexión a Internet a lugares en los que de otra manera esta sería más difícil o costosa, y este uso se hace habitualmente con la configuración de fábrica sin cambiar, lo que supone un gran riesgo. La prueba de ello la encontramos haciendo una búsqueda, como puede ser en Shodan, en donde uno puede encontrar que actualmente siguen existiendo cientos de miles de estos dispositivos a nivel mundial con la mala configuración de tener UBNT Discover activo en el puerto 10001, ser accesible por UDP y estar expuesto en Internet.

Vector de ataque

Un estado habilitado del protocolo UBNT Discover en la interfaz de red pública de los dispositivos Ubiquiti permitiría a ciberdelincuentes valerse de ellos para desarrollar un ataque de DrDoS contra un sistema objetivo.

La naturaleza del ataque es muy similar al resto de los de este tipo. Por un lado, el atacante ordena a una botnet bajo su control que realice de forma masiva peticiones de información a los dispositivos Ubiquiti. De esta forma, estos dispositivos pasarían a ser ya partícipes involuntarios del ataque.

Por otro lado, las peticiones enviadas son manipuladas, sustituyendo la IP de origen real por la de la víctima (spoofing), con lo que se consigue una respuesta ante una petición legítima. De este modo, el ataque es reflejado y las respuestas son redirigidas a un mismo equipo, la víctima, que es incapaz de atender el elevado número de paquetes que le llegan.

Esquema del ataque a UBNT

Ilustración 1. Esquema del ataque a UBNT

Finalmente, para asegurar la denegación de servicio del equipo atacado el ciberdelincuente también modifica el tamaño de los paquetes de respuesta, amplificándolos entre 30 o 35 veces con respecto al paquete de petición que suele ser de apenas unos pocos bytes. Los paquetes amplificados suelen incluir información sobre el dispositivo Ubiquiti, como direcciones IP y MAC, nombre del equipo y otros datos identificativos.

Adicionalmente, las características de funcionamiento del protocolo UBNT Discover posibilitan a los atacantes redirigir la inundación de tráfico a cualquier servicio UDP activo en el equipo víctima, modificando en las peticiones los datos sobre el puerto en origen.

Durante este tipo de ataques los dispositivos Ubiquiti, que participan para reflejar y amplificar las consultas de UBNT Discover, también pueden verse afectados y denegar su servicio ante el excesivo volumen de consultas procedentes de la botnet, provocando problemas de conexión inalámbrica a otros dispositivos secundarios asociados.

También hay que tener en cuenta que los propietarios legítimos de los servidores Ubiquiti, partícipes de forma involuntaria, pueden enfrentarse a problemas legales, ya que son el origen del ataque para la víctima debido al spoofing de IP antes mencionado.

Prevención

Lo primero que hay que saber es si un servidor UBNT Discover es vulnerable o no, para lo que hay que averiguar cómo está expuesto en Internet. Una búsqueda en el cortafuegos sobre el puerto 10001 sobre UDP puede decirnos si este tipo de conexiones están habilitadas y si carece de filtrado para permitir solo determinadas direcciones IP, lo cual resultaría en ser un servidor vulnerable. Por el contrario, si las conexiones están permitidas pero el filtro por origen de IP está activado, no sería vulnerable.

Algunas buenas prácticas para evitar que los dispositivos con UBNT Discover puedan participar involuntariamente en un ataque DrDoS son:

  • Limitar o desactivar el protocolo UBNT Discover. Es un protocolo que se puede deshabilitar por completo o, al menos, limitar su activación a solo aquellas interfaces que no tengan presencia en Internet y que sean de acceso público. Para más información, consultar la documentación del fabricante del dispositivo.
  • Definir un protocolo de actuación ante ataques DrDoS UBNT. Saber cómo actuar ante este tipo de ataques que afecten a dispositivos con UBNT Discover propios, es clave para dar una respuesta rápida y eficaz que minimice su impacto. Este procedimiento ha de recoger cómo identificar estos ataques y adaptarse a las características de la empresa.
  • Solicitar al proveedor de servicios de Internet (ISP) filtros antispoofing: para rechazar tráfico UBNT Discover con direcciones falsificadas, no accesibles a través de la ruta real del paquete, lo que evita responder a consultas sospechosas.
  • Desplegar los dispositivos UBNT detrás de cortafuegos: establecer una configuración antispoofing en un firewall mediante reglas y filtros es importante para que analice las peticiones dirigidas por UDP al puerto 10001 de los dispositivos.
  • Limitar la visibilidad de los dispositivos con UBNT Discover activado en Internet. Reglas de filtrado de direcciones IP en un cortafuegos permiten limitar el acceso a estos dispositivos para que no queden expuestos de forma “pública”.

Detección y evidencias

Las evidencias de que un dispositivo propio está participando en un ataque de DrDoS por UBNT Discover hay que hallarlas en su actividad. Una actividad intensiva e inusual, relacionada con el tráfico UDP en el puerto 10001, debe disparar todas las alertas. Tras un análisis del tráfico el hecho de que si la dirección de origen de las consultas que se reciben es la misma o hay claros indicios de haber sido falsificada, confirma la participación del dispositivo en un ataque reflejado.

Por otro lado, si el ataque no fue detectado en el momento de producirse, pero hay sospechas de que ocurrió, las trazas del suceso se podrán encontrar en el registro de actividad de los dispositivos afectados (logs). Los logs asociados al dispositivo Ubiquiti son accesibles desde los propios dispositivos, aunque siempre es recomendable enviar los datos a un SIEM para tener un mejor análisis y visualización de los mismos.

Respuesta y recomendaciones

Tanto si uno está siendo el objetivo de un ataque DrDoS como si está siendo partícipe del ataque de forma involuntaria, se recomienda realizar las siguientes acciones, que deberían estar recogidas en el protocolo de actuación y gestión de incidentes para este tipo de ataques:

  • Desactivar el protocolo UBNT Discover en la interfaz de red que está recibiendo las peticiones o, directamente, desactivar esa interfaz de red.
  • Revisar la precedencia de las direcciones IP de origen y destino, puertos de destino y direcciones URL del tráfico UBNT. Esta información será de utilidad al ISP para que proceda a su bloqueo. Por medio del firewall se podrá sacar dicha información.
  • Establecer contactos con el proveedor de Internet o hosting: para comunicarle el suceso y transmitirle la información necesaria con el fin de que pueda aplicar las medidas de filtrado de tráfico necesarias para detener el ataque.
  • Obtener asistencia técnica: contactar con los proveedores de servicios técnicos de TI contratados o con los CERT de carácter público de referencia, como puede ser INCIBE-CERT.

Una vez que el ataque haya cesado y el servicio del dispositivo se haya restablecido con normalidad, se debe proceder al análisis de las causas que lo provocaron, identificar las vulnerabilidades que lo hicieron posible y definir las medidas de prevención que eviten que vuelva a ocurrir. Asimismo, independientemente del alcance e impacto del ataque, este debe ser comunicado a las autoridades para que pueda ser investigado y perseguido.