https://www.sbjonlineservices.com/wp-content/uploads/2021/08/drdos.jpg
Noticia compartida desde la página web incibe-cert.es
Tras el estudio preliminar de los ciberataques de denegación de servicio (DoS), junto con algunas de sus variantes expuestas en el artículo “DrDoS: características y funcionamiento”, en este nuevo artículo se abordará cómo el protocolo de UBNT es utilizado como una herramienta para desarrollar un ciberataque DoS en su variante DrDoS.
UBNT
El fabricante Ubiquiti Networks, especializado en dispositivos de red para telecomunicaciones inalámbricas, desarrolló el protocolo propietario, UBNT Discover, para facilitar la interconexión de sus dispositivos, de forma que estos pudieran descubrirse automáticamente entre sí. Una característica de este protocolo es que opera sobre el puerto 10001 por UDP, y otra es que está asociado a la tarjeta de red de los dispositivos, como los puntos de acceso, de forma predeterminada.
Su sencillo funcionamiento se basa en una transmisión broadcast, directa o indirecta, en la que se envía una petición con los bytes “0x01 0x00 0x00” cada 60 segundos (configuración Device Discovery Background Scan) o cada 30 segundos (por el protocolo CDP v1), desde un dispositivo Ubiquiti a otro que tenga el servicio UBNT Discover activado, tras lo cual, el receptor responde con los datos necesarios para que ambos equipos se asocien.
El uso de los dispositivos inalámbricos de Ubiquiti está ampliamente extendido para llevar la conexión a Internet a lugares en los que de otra manera esta sería más difícil o costosa, y este uso se hace habitualmente con la configuración de fábrica sin cambiar, lo que supone un gran riesgo. La prueba de ello la encontramos haciendo una búsqueda, como puede ser en Shodan, en donde uno puede encontrar que actualmente siguen existiendo cientos de miles de estos dispositivos a nivel mundial con la mala configuración de tener UBNT Discover activo en el puerto 10001, ser accesible por UDP y estar expuesto en Internet.
Vector de ataque
Un estado habilitado del protocolo UBNT Discover en la interfaz de red pública de los dispositivos Ubiquiti permitiría a ciberdelincuentes valerse de ellos para desarrollar un ataque de DrDoS contra un sistema objetivo.
La naturaleza del ataque es muy similar al resto de los de este tipo. Por un lado, el atacante ordena a una botnet bajo su control que realice de forma masiva peticiones de información a los dispositivos Ubiquiti. De esta forma, estos dispositivos pasarían a ser ya partícipes involuntarios del ataque.
Por otro lado, las peticiones enviadas son manipuladas, sustituyendo la IP de origen real por la de la víctima (spoofing), con lo que se consigue una respuesta ante una petición legítima. De este modo, el ataque es reflejado y las respuestas son redirigidas a un mismo equipo, la víctima, que es incapaz de atender el elevado número de paquetes que le llegan.