Todo Internet en jaque, descubren graves vulnerabilidades en protocolos de tunelización: IPIP, GRE, 4in6 y 6in4

El conocido investigador de seguridad Mathy Vanhoef, ha descubierto una serie de vulnerabilidades en los principales protocolos de tunelización que existen hoy en día, que pueden poner todo Internet en jaque si son comprometidos. Según sus investigaciones, han descubierto que más de 4 millones de servidores de Internet, incluyendo servidores VPN y routers domésticos, son vulnerables a ser secuestrados para realizar ataques de denegación de servicio distribuido, e incluso proporcionar acceso a sus redes privadas. ¿Quieres conocer cómo te afectan estos fallos de seguridad que han descubierto?
Si los ciberdelincuentes consiguen explotar estas vulnerabilidades que han descubierto, y que han estado bajo embargo más de 8 meses para que los fabricantes solucionen los problemas, podrían secuestrar diferentes hosts de Internet afectados y realizar ataques a terceros de forma completamente anónima, ya que todo el tráfico saldrá directamente de la víctima. Además, no solamente es grave que un ciberdelincuente use un servidor remoto para hacer ataques de forma anónima, sino que también tendrá acceso no autorizado a su red.
¿En qué consiste este fallo de seguridad y a qué protocolos afecta?
Ese fallo de seguridad radica en que los diferentes servidores aceptan paquetes de tunelización sin verificar la identidad del remitente, por lo tanto, se puede «secuestrar» a estos servidores para realizar ataques completamente anónimos. Esto significa que estos servidores vulnerables podrían usarse como servidores proxy unidireccionales, lo que permite cualquier tipo de ataques anónimos a un determinado objetivo. Muchos hosts también permiten la suplantación de IP de origen para evitar la detección, por lo que un posible atacante es aún más anónimo. Además, algo realmente grave es que se podría tener acceso a las redes privadas de los servidores vulnerables. Por último, estos ataques incluyen nuevas técnicas de denegación de servicio (DoS), suplantación de DNS, que a su vez permiten realizar ataques DoS tradicionales, y, por supuesto, ataques SYN Flood y off-path TCP hijacking entre otros.
Los protocolos afectados por estos fallos de seguridad son los más usados para tunelizar tráfico, como IPIP/IP6IP6, GRE/GRE6, 4in6 y 6in4. Estos dos últimos protocolos, son los más populares para la tunelización de tráfico IPv6 en IPv4 y viceversa. Han descubierto que hay más de 4 millones de hosts vulnerables, incluyendo servidores VPN, routers domésticos de operadores, routers de core de Internet, puertas de enlace de redes móviles, así como nodos de CDN (incluyendo nodos de CDN de Meta y Tencent, lo que es más grave aún).
Actualmente se han detectado que hay más de 11.000 sistemas autónomos afectados, los más afectados fueron los de Softbank, Eircom, Telmex y China Mobile. Casi la mitad de los AS vulnerables no filtran los hosts que falsifican la información. Los países más afectados por estas vulnerabilidades son China, Francia, Japón, Estados Unidos y Brasil, aunque también encontramos a España como uno de los más afectados.
Según los investigadores de seguridad, usar siempre IPsec o WireGuard para proteger los protocolos de tunelización es la mejor forma para poder seguir usándolos de forma segura. Por lo tanto, es recomendable que los hosts solamente acepten paquetes de tunelización protegidos por estos dos protocolos y descartar todos los demás.
¿Para qué sirven los protocolos de tunelización?
Los protocolos de tunelización se usan para muchas tareas, principalmente lo que hacen es conectar redes entre sí, aunque habitualmente se usan en soluciones de VPN para encapsular el tráfico, lo cierto es que hay ciertos protocolos de tunelización pura como IPIP y GRE que no autentican ni cifran el tráfico. Si se quiere proteger estos protocolos, hay que configurar por encima el popular protocolo IPsec, que sí garantiza el cifrado punto a punto y la autenticidad de los datos. Normalmente estos protocolos de tunelización se usan sin ningún tipo de seguridad adicional, por lo que permite que un atacante inyecte tráfico malicioso en el túnel.
Mathy Vanhoef y su equipo desarrollaron una serie de sondas para escanear todas las direcciones IPv4, y hasta 10 millones de direcciones IPv6, para saber si estos hosts eran vulnerables o no, y si eran capaces de suplantar la identidad. El protocolo de tunelización más afectado es el 6in4 con más de 2 millones de hosts vulnerables y con 1,6 millones vulnerables a suplantación de identidad mediante IP spoofing en origen. Después tenemos el popular GRE con 1,5 millones vulnerables, pero solo 0,2 millones son vulnerables a suplantación de identidad.
En esta investigación hay muchas empresas afectadas, a continuación, detallamos las más relevantes:
- Meta: el dominio más afectado en las pruebas IPIP y IP6IP6 es el CDN de Facebook o Meta (fbcdn).
- Telenet: operador de Bélgica.
- 163data: operador China Telecom.
- Free: operador francés, afecta principalmente a sus routers domésticos. Más del 17% de todos los hosts vulnerables se originaron debido a una configuración incorrecta en los routers domésticos de este operador. Un atacante podría usar este router comprometido para acceder a la red interna, y luego poder ver las cámaras IP, acceder a los diferentes servidores de la red local e incluso manipular la domótica de la casa.
- aoxvpn.com: servicio de VPN con sede en Singapur y otros subdominios.
Otra empresa gravemente afectada por estas vulnerabilidades descubiertas es Synology. Alrededor de 1.200 hosts vulnerables parecen ser routers con el DNS dinámico activado. La mayoría de los dispositivos identificados son routers Synology, que proporcionan un acceso remoto a través del software VPN Plus Server integrado. La configuración del servicio parece dejar al host completamente vulnerable. Había un total de 12 host vulnerables con dominios vpnplus.to y synology.me que pertenecen al popular fabricante de servidores NAS y routers, estos dominios son los proporcionados por Synology para su servicio de Dynamic DNS.
Os recomendamos acceder al proyecto de GitHub «Tunneltester» donde encontraréis información técnica para averiguar si estáis afectados. También podéis acceder a toda la investigación en la web oficial de Mathy Vanhoef.