Los protocolos de enrutamiento desempeñan un papel vital en el funcionamiento de Internet y los servicios basados en él. Sin embargo, muchos de estos protocolos se desarrollaron sin tener en cuenta la seguridad.
Por ejemplo, el Border Gateway Protocol (BGP) no consideró originalmente la posibilidad de ataques entre pares. En las últimas décadas se ha trabajado mucho en la verificación de origen y ruta en BGP.
Sin embargo, ignorar la seguridad implementada por BGP, especialmente el análisis de mensajes, genera múltiples vulnerabilidades que pueden explotarse para denegación de servicio (DoS).
Existe una actitud común dentro de la industria de la seguridad: "si no está roto, no lo arregles". La gente tiende a ignorar las auditorías de seguridad, pensando erróneamente que este tipo de vulnerabilidades son menos graves que los problemas de validación de origen y ruta.
Las evaluaciones de riesgos tradicionales a menudo no examinan exhaustivamente todo el software y los dispositivos de la red y su impacto, lo que crea puntos ciegos. Estas brechas pueden volverse aún más pronunciadas cuando las organizaciones ni siquiera son conscientes de que estos protocolos de enrutamiento están en uso.
Los protocolos de enrutamiento pueden aparecer en más lugares de los que uno podría imaginar, como centros de datos, VPN en sitios organizacionales e integrados en dispositivos personalizados.
riesgo desconocido
Durante el año pasado, los actores de amenazas se dirigieron cada vez más a dispositivos de red, incluidos enrutadores.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una directiva operativa vinculante que exige a las agencias federales que reduzcan el riesgo de estos dispositivos.
La mayor atención prestada a los enrutadores ha generado preocupaciones sobre la seguridad de los protocolos de enrutamiento subyacentes. Por ejemplo, hay casos de actores de amenazas que explotan enrutadores para reconocimiento, implementación de malware y comunicaciones de comando y control.
También hay tres problemas BGP DoS en el catálogo de exploits conocidos de CISA, así como otras dos vulnerabilidades DoS que afectan otra implementación de protocolo de enrutamiento.
Además, los secuestros y filtraciones de BGP han generado preocupación, lo que resulta en incidentes en los que el tráfico se redirige a destinos no deseados, lo que potencialmente expone información confidencial.
Los ataques a centros de datos plantean otro riesgo importante, ya que las vulnerabilidades en los protocolos de enrutamiento pueden aprovecharse para aislar los centros de datos de Internet, haciendo que sus servicios sean inaccesibles.
Puntos ciegos de la evaluación de riesgos
Para abordar los puntos ciegos en la evaluación de riesgos, se requiere un enfoque múltiple.
Las organizaciones deben parchear su infraestructura de red con la mayor frecuencia posible, pero no se pueden reparar daños que no se conocen. De hecho, el inventario de activos debe rastrear todos los dispositivos conectados a la red y el software que se ejecuta en ellos, incluidos los protocolos de enrutamiento.
Esta conciencia permite a las organizaciones identificar vulnerabilidades y tomar las acciones necesarias para priorizar la remediación. Las organizaciones también pueden mitigar estos riesgos implementando políticas de segmentación para proteger los dispositivos sin parches de la exposición a Internet.
Idealmente, la seguridad debería comenzar con los desarrolladores de software, quienes pueden reducir la probabilidad de vulnerabilidades en las implementaciones de protocolos de enrutamiento mediante el uso de técnicas mejoradas de análisis estático y dinámico y asegurando el ciclo de vida del desarrollo de software. Además, se debe establecer una comunicación efectiva para abordar y resolver cualquier vulnerabilidad identificada de manera oportuna.
Asimismo, los proveedores que integran estos protocolos en sus equipos también se convierten en una fuente de riesgo para terceros en la cadena de suministro. La implementación de una lista de materiales de software (SBOM) proporciona una mejor comprensión de las vulnerabilidades presentes en dispositivos y redes, lo que permite a las organizaciones gestionar mejor sus riesgos. Sin embargo, cuando los proveedores no brindan este tipo de transparencia (o no saben que sus dispositivos están afectados), en última instancia, es responsabilidad de la organización evaluar de manera proactiva su superficie de ataque.
Finalmente, la comunidad de investigación de seguridad desempeña un papel invaluable en el descubrimiento y divulgación responsable de estas vulnerabilidades de seguridad. En algunos casos, la investigación de seguridad proporciona correcciones y recomendaciones de mitigación más oportunas y efectivas que las que los desarrolladores y proveedores de software deberían publicar boletines de seguridad. Por ejemplo, en el caso de la reciente vulnerabilidad BGP, los investigadores de seguridad lanzaron un fuzzer BGP de código abierto que puede probar rápidamente implementaciones de protocolos en busca de vulnerabilidades.
riesgo de exposición
Las vulnerabilidades que afectan al software también afectan a los dispositivos conectados, por lo que mejorar la seguridad requiere un esfuerzo conjunto de ambos. Los investigadores de seguridad pueden mejorar la conciencia sobre los riesgos potenciales de los protocolos de enrutamiento y su impacto en el ecosistema más amplio, pero en última instancia, corresponde a las organizaciones abogar por una mejor seguridad.
Las organizaciones deben priorizar la visibilidad integral de los dispositivos de red, desde terminales y servidores tradicionales hasta todo el software y dispositivos. Deben implementar evaluaciones de vulnerabilidad rigurosas y establecer mecanismos efectivos de detección y respuesta a amenazas.
Los desarrolladores y proveedores de software necesitan mejorar sus prácticas de seguridad, mejorar la comunicación y aumentar la transparencia. Trabajando juntos, podemos fortalecer la seguridad de los protocolos de enrutamiento y proteger nuestro mundo conectado.