El protocolo TFTP es un nuevo vector de ataque que se puede utilizar para realizar DDoS amplificados

Share this…

Los ataques de denegación de servicio distribuido (DDoS) se pueden hacer aún más potentes si se usan técnicas de amplificación. Estas técnicas consisten básicamente en explotar un fallo de configuración de un protocolo para reenviar una gran cantidad de tráfico al objetivo. Algunos protocolos como el DNS o NTP son ampliamente usados para la realización de este tipo de ataques en los últimos años, sin embargo, ahora se ha descubierto que el protocolo TFTP puede ser utilizado de una forma similar.

¿Qué es el protocolo TFTP?

El protocolo TFTP es el llamado protocolo de transferencia de archivos trivial, o trivial file transfer Protocol en inglés. Este protocolo de la capa de aplicación utiliza el protocolo UDP en la capa de transporte a través del puerto 69 de manera predeterminada. Es una versión muy básica del protocolo FTP ya que no puede listar el contenido de los directorios ni tampoco existen mecanismos de autenticación o cifrado.

La principal funcionalidad de este protocolo es el intercambio de archivos pero de una manera muy básica, lo podemos usar para transferir archivos pequeños entre ordenadores de una red, pero normalmente el protocolo TFTP se utiliza para cargar firmwares a los routers de manera local o remota. Un claro ejemplo de uso es por ejemplo Cisco, que lo usa para enviar las imágenes del sistema operativo de los teléfonos VoIP, también lo utilizan para proporcionar un almacenamiento centralizado de estas imágenes. Otro uso de este protocolo es por ejemplo en el arranque PXE de muchas máquinas.

Un ataque DDoS atravesando un firewall

TFTP como vector para realizar ataques DDoS amplificados

Unos investigadores de la Universidad Napier de Edimburgo han descubierto que el protocolo TFTP podría ser usado de una manera similar a los protocolos DNS y NTP anteriormente. A diferencia de DNS y NTP, este protocolo TFTP no tiene por qué ser visible en los sistemas expuestos a Internet, sin embargo, estos investigadores han realizado un escaneo de puertos de manera global a miles de IP y los resultados indican que hay más medio millón de servidores TFTP abiertos al público.

Además de haber una gran cantidad de estos servidores TFTP abiertos, se ha descubierto que el factor de amplificación es mayor que el de otros protocolos de Internet. Según los investigadores, si se realizara un ataque de amplificación TFTP el tráfico que se puede generar sería de hasta 60 veces la cantidad original enviada. Otro detalle muy importante de esta investigación es que los distintos softwares de TFTP retransmiten automáticamente el mismo mensaje hasta seis veces, por lo que contribuye aún más a la amplificación.

Fuente:https://www.redeszone.net/