Cloudflare

Análisis de Secuestros de Ruta BGP Usando AS_PATH Forjados y la Falta de Verificación del First AS en Redes Tier 1

configuration-drift

causa raíz

Timeline del incidente

· Spamhaus

Spamhaus reporta secuestros de ruta BGP que aprovechan ASNs no utilizados y AS_PATHs forjados.

· Atacante

Se observa un secuestro de prefijo 90.98.0.0/15 de Orange S.A., con un AS_PATH '48237 1299 199524 270118 17072 41128', donde AS41128 es un ASN no utilizado de Orange France, y los AS intermedios son implausibles (ISPs mexicanos).

· Atacante

Se detecta otro secuestro para 47.1.0.0/16 y 47.2.0.0/16, incluyendo el ASN de Cloudflare (13335) en el AS_PATH forjado ('199524 270118 17072 13335 36429'), a pesar de no haber adyacencia real.

· Cloudflare

Cloudflare confirma que los AS_PATHs son forjados y que el tráfico es redirigido a una red detrás de Gcore (AS199524) en Chicago, sin pasar por los AS intermedios falsos.

· Cloudflare

Se hipotetiza que el atacante origina anuncios BGP para prefijos 'parked', forja completamente el AS_PATH (sin incluir su propio ASN) y los anuncia a Gcore (AS199524).

· Gcore (AS199524)

Gcore (AS199524) aparentemente omite la verificación del First AS, aceptando y propagando las rutas forjadas.

· Cloudflare

Cloudflare realiza un experimento controlando anuncios BGP que violan intencionalmente la regla del First AS para medir la adopción de esta verificación en redes Tier 1.

· Cloudflare

Se descubre que la mitad de las redes Tier 1 probadas no aplican la verificación del First AS, aceptando y propagando las rutas malformadas.

· Cloudflare

Se identifica que la mayoría de las redes Tier 1 que fallan la prueba utilizan routers Juniper Networks, lo que sugiere que el comportamiento por defecto del vendedor contribuye a la vulnerabilidad.

Análisis técnico

Este incidente revela una vulnerabilidad crítica en la seguridad del enrutamiento de Internet, donde atacantes explotan la falta de verificación del 'First AS' en el atributo AS_PATH de BGP. La causa raíz subyacente es la configuración por defecto de ciertos equipos de red y la falta de aplicación de una política de seguridad fundamental, descrita en RFC 4271 y RFC 7606. Los atacantes forjan AS_PATHs para redirigir el tráfico, ocultar su identidad y realizar ataques de origen o acortamiento de ruta, incluso burlando mecanismos como RPKI-ROV y ASPA al presentar rutas aparentemente válidas.

La cascada de fallo se inicia cuando un AS (como Gcore en los ejemplos) acepta un anuncio BGP con un AS_PATH manipulado donde el 'First AS' no coincide con el ASN del peer que envió el anuncio. Esta aceptación propaga la ruta maliciosa a través de la red global, desviando el tráfico destinado a prefijos legítimos. Las salvaguardas existentes, como RPKI y ASPA, son insuficientes porque los atacantes pueden diseñar AS_PATHs que parecen válidos o que carecen de la información necesaria para que ASPA detecte la manipulación. La debilidad radica en que BGP, por su naturaleza de 'confianza', permite la manipulación del AS_PATH, y la verificación del 'First AS' no es un comportamiento por defecto universalmente aplicado.

El experimento de Cloudflare demuestra empíricamente que la mitad de las redes Tier 1 son vulnerables a esta técnica de secuestro, lo que subraya la escala del problema. La mayoría de los fallos se atribuyen a routers Juniper Networks, que no aplican esta verificación por defecto. Esto crea un riesgo sistémico significativo, ya que las redes Tier 1 forman la columna vertebral de Internet y sus vulnerabilidades tienen un impacto global. La excepción para los route servers de IXPs es un caso de uso válido para no aplicar la verificación, pero no justifica la falta de aplicación por defecto en la mayoría de las sesiones EBGP.

Remediaciones y action items

✓ Implementar y hacer cumplir la verificación del 'First AS' en todas las sesiones External BGP (EBGP), excepto aquellas con route servers de Internet Exchange Points (IXP).
✓ Los operadores de red deben configurar explícitamente la verificación del 'First AS' en sus routers, especialmente si utilizan equipos de vendedores que no la habilitan por defecto.
✓ Los vendedores de equipos de red deben cambiar sus configuraciones por defecto para habilitar la verificación del 'First AS' en BGP, con una opción para deshabilitarla solo para route servers de IXP.

Lecciones para arquitectos

→ La seguridad por defecto es crucial: los sistemas deben ser seguros 'out of the box', requiriendo una configuración explícita para relajar la seguridad.
→ No confiar implícitamente en la información recibida de pares externos; siempre validar los atributos críticos de los protocolos de enrutamiento.
→ Los protocolos diseñados con 'confianza' inherente (como BGP) requieren capas de validación adicionales para mitigar ataques maliciosos.
→ La falta de estandarización en la implementación de RFCs de seguridad puede crear vulnerabilidades a escala global.
→ La resiliencia de la infraestructura crítica de Internet depende de la adopción generalizada de las mejores prácticas de seguridad por parte de todos los participantes.
→ Los experimentos controlados son valiosos para medir la adopción de políticas de seguridad y la exposición a vulnerabilidades en sistemas distribuidos a gran escala.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp