Los 14 protocolos de red más comunes y sus vulnerabilidades

Los protocolos de red son un conjunto de reglas establecidas que controlan y gobiernan el intercambio de información siguiendo un método seguro, confiable y fácil. Estos conjuntos de reglas están presentes para varias aplicaciones. Algunos ejemplos bien conocidos de protocolos incluyen redes cableadas (como Ethernet), redes inalámbricas (como WLAN) y comunicación por Internet. El conjunto de protocolos de Internet, que se utiliza para difundir y transmitir datos a través de Internet, comprende docenas de protocolos.

Existen numerosas vulnerabilidades en estos protocolos que conducen a su explotación activa y plantean serios desafíos para la seguridad de la red. Comprendamos 14 de los protocolos de red más comunes y las correspondientes vulnerabilidades presentes en ellos.

1. Protocolo de resolución de direcciones (ARP)

Un protocolo de capa de comunicación (proceso de mapeo entre la capa de enlace de datos y la capa de red) que se utiliza para identificar una dirección de control de acceso a medios (MAC) dada la dirección IP. No hay forma de que el host pueda validar de dónde proviene el paquete de red en la red de igual a igual. Esta es una vulnerabilidad y da lugar a la suplantación de ARP. El atacante puede explotar esto si está en la misma LAN que el objetivo o usa una máquina comprometida que está en la misma red. La idea es que el atacante asocie su dirección MAC con la dirección IP del objetivo para que el atacante reciba cualquier tráfico destinado al objetivo.

2. Sistema de nombres de dominio (DNS)

Las direcciones IP tienen un formato numérico y, por lo tanto, no son fáciles de leer o recordar para los humanos. DNS es un sistema jerárquico que convierte estas direcciones IP en un nombre de host legible por humanos. La vulnerabilidad más común en DNS es el envenenamiento de caché. Aquí, el atacante reemplaza la dirección IP legítima para enviar al público objetivo a sitios web maliciosos. La amplificación de DNS también se puede explotar en un servidor DNS que permite búsquedas recursivas y utiliza la recursividad para amplificar la magnitud del ataque.

3. Protocolo de transferencia de archivos/seguro (FTP/S)

Es un protocolo de red basado en la arquitectura del modelo de cliente y servidor que se utiliza para transferir archivos entre el cliente y el servidor en una red informática. Los ataques FTP más comunes utilizan secuencias de comandos entre sitios cuando el atacante utiliza una aplicación web para enviar código malicioso, en forma de secuencias de comandos del lado del navegador (o cookies) al usuario. El Protocolo de transferencia de archivos (FTP) remoto no controla las conexiones ni encripta sus datos. Los nombres de usuario junto con las contraseñas se transmiten en texto claro que puede ser interceptado por cualquier rastreador de red o incluso puede resultar en un ataque de intermediario (MITM). 

4. Protocolo de transferencia de hipertexto/seguro (HTTP/S)

Se utiliza para la comunicación segura en una red informática. Sus características principales incluyen la autenticación del sitio web al que se accede y luego la protección de la privacidad e integridad de los datos que se intercambian. Una vulnerabilidad importante en HTTPS es el ataque Drown que ayuda a los atacantes a romper el cifrado, robar información de tarjetas de crédito y contraseñas. Otro error grave es el error Heartbleed que permite el robo de la información que está protegida por el cifrado TLS/SSL que se utiliza para proteger Internet. Algunas otras vulnerabilidades incluyen la factorización de claves de exportación RSA y Compression Ratio Info-leak Made Easy.

5. Protocolo de acceso a mensajes de Internet (IMAP)

Es un protocolo de correo electrónico de Internet que almacena correos electrónicos en el servidor de correo, pero permite al usuario final recuperar, ver y manipular los mensajes tal como estaban almacenados localmente en los dispositivos del usuario. En primer lugar, cuando un correo electrónico se envía a través de Internet, pasa por canales de comunicación desprotegidos. Los nombres de usuario, las contraseñas y los mensajes pueden ser interceptados por sí mismos. También se puede llevar a cabo un ataque de denegación de servicio (DoS) en el servidor de correo, lo que da como resultado correos electrónicos no recibidos y no enviados. Además, el servidor de correo electrónico se puede inyectar con malware, que a su vez se puede enviar a los clientes mediante archivos adjuntos infectados.

6. Protocolo de oficina postal (POP3)

Se utiliza un protocolo de Internet de capa de aplicación para recuperar correos electrónicos desde el servidor remoto a la máquina local personal del cliente. Se puede usar para ver mensajes incluso cuando no está conectado. Las vulnerabilidades que tienen como objetivo el almacenamiento de buzones de correo comprenden un acceso directo a la memoria de Firewire o un ataque DMS que se basa en el uso del acceso directo al hardware para leer o escribir directamente en la memoria principal sin ninguna interacción o supervisión del sistema operativo. Los procesos de inicio de sesión permiten al usuario conectarse a través de rutas no cifradas, lo que hace que las credenciales de inicio de sesión se envíen a través de la red como texto claro.

7. Protocolo de escritorio remoto (RDP)

Desarrollado por Microsoft, es un protocolo que proporciona a los usuarios una interfaz gráfica para conectarse a otra computadora a través de una conexión de red, donde un usuario ejecuta el software de cliente RDP mientras que otro ejecuta el software de servidor RDP. Una vulnerabilidad llamada BlueKeep podría permitir que malware como ransomware se propague a través de sistemas vulnerables. BlueKeep permite a los atacantes conectarse a los servicios RDP. Después de esto, pueden emitir comandos para robar o modificar datos, instalar malware peligroso y realizar otras actividades maliciosas. La explotación de la vulnerabilidad no requiere autenticación por parte del usuario. Ni siquiera requiere que el usuario haga clic en nada para activar.

8. Protocolo de inicio de sesión (SIP)

Es un protocolo de señalización que se utiliza para iniciar, mantener, modificar y finalizar sesiones en tiempo real. Estas sesiones pueden incluir aplicaciones y servicios de voz, video, mensajería y otras comunicaciones que se encuentran entre dos o más puntos finales en las redes IP. Puede sufrir amenazas de seguridad como desbordamiento de búfer, ataque de inyección, secuestro, etc. Estos adversarios son bastante fáciles de montar con los cargos mínimos o casi sin costo para el atacante. Los ataques de inundación ocurren cuando un atacante envía un gran volumen de tráfico que hace que el sistema de destino consuma todos sus recursos y lo vuelve incapaz de atender a los clientes legítimos. Las inundaciones en la infraestructura de la red SIP pueden ocurrir fácilmente ya que no hay separación de los canales para la señalización y la transferencia de datos.

9. Bloque de mensajes del servidor (SMB)

Es un protocolo de comunicación de red para proporcionar acceso compartido a archivos, impresoras y puertos serie entre Nodes de una red. También proporciona un mecanismo de comunicación entre procesos autenticado y autorizado. La vulnerabilidad en SMB es el ataque SMB Relay y se utiliza para llevar a cabo ataques Man-in-the-middle. Otro ataque es el ataque EternalBlue. El servidor SMBv1 en varias versiones de Microsoft Windows maneja mal los paquetes especialmente diseñados de atacantes remotos, lo que les permite ejecutar código arbitrario en la computadora de destino.

10. Protocolo simple de transferencia de correo (SMTP)

Es un protocolo de capa de aplicación de comunicación y se utiliza para enviar correos electrónicos. Los spammers y los piratas informáticos pueden usar un servidor de correo electrónico para enviar correo no deseado o malware a través del correo electrónico bajo la apariencia del desprevenido propietario de la retransmisión abierta. Los piratas informáticos también realizan un ataque de recopilación de directorios, que es una forma de obtener direcciones de correo electrónico válidas de un servidor o dominio para que las utilicen los piratas informáticos. Las vulnerabilidades también incluyen ataques de desbordamiento de búfer, ataques de caballos de Troya, ataques de scripts de shell, etc.

11. Protocolo simple de administración de red (SNMP)

Es un protocolo estándar de Internet para recopilar y organizar información sobre dispositivos administrados en las redes IP y también se utiliza para alterar y modificar esa información para cambiar el comportamiento del dispositivo. El reflejo SNMP es una especie de ataque de denegación de servicio distribuido o DDoS. Estos ataques pueden generar volúmenes de ataque de cientos de gigabits por segundo que pueden dirigirse a objetivos de ataque desde varias redes de banda ancha. El adversario envía una gran cantidad de consultas SNMP con una dirección IP falsificada (que es la IP de la víctima) a múltiples dispositivos conectados que, a su vez, responden a esa dirección IP falsificada. El volumen de ataques se vuelve severo a medida que más y más dispositivos continúan respondiendo hasta que la red de destino cae por debajo del volumen colectivo de estas respuestas.

12. Carcasa segura (SSH)

Es un protocolo de red basado en criptografía para operar servicios de red de forma segura y confiable en una red no segura. Algunas aplicaciones particulares incluyen línea de comandos remota, ejecución de comandos remotos, inicio de sesión, pero cualquier servicio de red se puede asegurar con la ayuda de SSH. Un ataque man-in-the-middle (MITM) puede permitir que el adversario desestabilice por completo y elimine el cifrado y puede obtener acceso a los contenidos cifrados que pueden incluir contraseñas. Un adversario exitoso es un cable para inyectar comandos en la terminal para modificar o alterar datos en tránsito o para robar datos. El ataque también puede permitir la inyección de malware dañino en cualquier archivo binario y otras actualizaciones de software descargadas a través del sistema. Esta técnica ha sido utilizada por varios grupos de ataque y paquetes de malware en el pasado.

13. Telnet

Es un protocolo de aplicación que se utiliza en Internet o en una red de área local (LAN) que proporciona comunicación interactiva bidireccional orientada a texto que utiliza una conexión de terminal virtual. El mayor problema de seguridad en el protocolo telnet es la falta de cifrado. Cada comunicación enviada a un dispositivo de red desde un dispositivo remoto que se está configurando se envía en forma de texto sin formato. El atacante puede ver fácilmente lo que estamos configurando en ese dispositivo y puede ver la contraseña que hemos utilizado para conectarse al dispositivo y entrar en modo configuración. Otro tipo de ataque Telnet es el DoS, el atacante envía muchos marcos de datos inútiles e irrelevantes y de esta manera asfixia la conexión.

14. Computación en red virtual (VNC)

La informática de red virtual se utiliza para establecer el uso compartido de escritorio remoto, que es una forma de acceso remoto en redes informáticas. VNC muestra la pantalla de escritorio visual de otra computadora y controla esa computadora a través de una conexión de red. Todos los ataques son causados ​​por el uso incorrecto de la memoria, y los ataques que los explotan conducen a estados de denegación de servicio, mal funcionamiento, así como acceso no autorizado a la información de los usuarios y la opción de ejecutar código malicioso en el dispositivo de un objetivo. Las vulnerabilidades y los ataques incluyen ataques DoS, desbordamiento de búfer, subdesbordamiento de búfer y ejecución remota de código.