Los investigadores han descubierto vulnerabilidades de seguridad críticas que afectan a millones de servidores y enrutadores de computadoras en todo el mundo, derivados de la implementación insegura de protocolos de túnel de Internet fundamentales.
Los defectos podrían permitir a los atacantes evitar los controles de seguridad, falsificar su identidad, acceder a redes privadas y lanzar poderosos ataques de denegación de servicio.
El descubrimiento fue realizado por los investigadores de seguridad Mathy Vanhoef y Angelos Beitis del Grupo de Investigación Distrinet-Ku Lovaina en Bélgica.
Su investigación reveló Que más de 4,2 millones de hosts de Internet, incluidos los enrutadores de Internet principales, los servidores VPN e incluso los enrutadores residenciales, están configurados incorrectamente para aceptar el tráfico no autenticado sobre los protocolos de túneles comunes como IPIP, GRE, 4In6 y 6In4.
Estos protocolos son esenciales para la infraestructura de red moderna, pero no incluyen de forma nativa la autenticación, una debilidad que puede explotarse si no se asegura adecuadamente.
Esta vulnerabilidad generalizada se considera una manifestación más amplia de un problema previamente identificado, CVE-2020-10136. El problema principal es que estos sistemas vulnerables pueden engañarse para reenviar el tráfico desde cualquier fuente, convirtiéndolos efectivamente en proxies unidireccionales que ayudan a los atacantes a ocultar su verdadera ubicación.
Impacto significativo y nuevos métodos de ataque
Las consecuencias de estas vulnerabilidades son graves. Los atacantes pueden aprovecharlos para falsificar las direcciones IP de origen, lo que dificulta el rastreo de actividades maliciosas. También pueden obtener una entrada no autorizada en la red interna de una organización o usar el sistema comprometido para lanzar ataques a otros objetivos.
La investigación también sacó a la luz tres nuevos tipos de ataques que explotan estas debilidades:
LENCIA TUNNELED-Temporal (TUTL): un ataque de denegación de servicio (DOS) que concentra el tráfico en el tiempo, logrando un factor de amplificación de tráfico de al menos 16. El ataque de ping-pong: un ataque de DOS más potente donde los paquetes se buce entre dos sistemas vulnerables, lo que resulta en un factor de amplificación de 75 voliones o más. Denegación económica de la sostenibilidad (EDOS): un ataque que drena el ancho de banda saliente de un sistema vulnerable, lo que puede conducir a costos financieros significativos para las organizaciones que utilizan servicios en la nube de terceros.
Una exploración global para huéspedes vulnerables encontró exposiciones significativas en China, Estados Unidos, Francia, Japón y Brasil. Se descubrió que las principales empresas, incluidas Softbank, China Mobile y otras, tenían infraestructura vulnerable.
En Francia, miles de enrutadores domésticos de un solo proveedor de Internet se vieron afectados. Los investigadores han notificado a todas las partes involucradas para que los sistemas puedan ser asegurados.
Se han asignado varios identificadores CVE nuevos para rastrear estas vulnerabilidades en diferentes protocolos:
CVE-2024-7595: afecta los protocolos GRE y GRE6. CVE-2024-7596: pertenece al borrador de encapsulación UDP genérico caducado (GUE). CVE-2025-23018: cubre los protocolos IPv4-in-IPV6 e IPv6-in-IPV6. CVE-2025-23019: se relaciona con el protocolo IPv6-in-IPV4.
Los expertos recomiendan que las organizaciones revisen sus configuraciones de red para evitar estos ataques. La defensa principal es configurar sistemas para aceptar solo paquetes tunelizados de direcciones IP confiables.
Para una seguridad más sólida, se insta a los administradores de la red a implementar protocolos como IPSEC, que proporciona la autenticación y el cifrado necesarios que faltan por defecto.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}