Requisito previo : Protocolo de transferencia de archivos
Un ataque FTP Bounce es un tipo antiguo de ataque de red que se realiza en servidores FTP para enviar tráfico saliente a un dispositivo, generalmente otro servidor en la red. Aprovecha el FTP en modo pasivo, donde el cliente inicia tanto las conexiones de control como las de datos. El atacante emite un comando PORT y engaña a la conexión FTP para ejecutar comandos y extraer información confidencial de otro dispositivo en lugar del servidor previsto. A través de este ataque, el atacante obtiene indirectamente el control de la máquina de la víctima en la red para solicitar datos y enviarle tráfico desde un servidor FTP . Esto permite que el atacante se comunique con un tercer dispositivo en la red y obtenga acceso no autorizado a información confidencial de ese dispositivo.
Por ejemplo, considere un dispositivo A que no tiene acceso a un servidor, pero otro dispositivo B que tiene acceso y permisos para acceder a datos en ese servidor. Un atacante realiza un ataque FTP Bounce para acceder al servidor a través del dispositivo autorizado B.
Sin embargo, los servidores FTP de hoy en día tienen funciones que, de manera predeterminada, evitan que ocurran tales ataques, pero si configura incorrectamente estas funciones en los servidores FTP modernos, puede hacer que el servidor sea vulnerable a un ataque FTP Bounce.
Operación de ataque de rebote FTP
Un ataque de rebote FTP se lleva a cabo como tal:
- Supongamos que hay un atacante A.
- Hay dos servidores ( P y Q ) y un cliente (C) en la red.
- Aquí Q es el tercer dispositivo en la red.
Ataque de rebote FTP
Paso 1: el atacante A establece una conexión de control FTP entre el cliente C y el servidor P.
Paso 2: el atacante A emite un comando de puerto para la conexión de datos, pero en lugar de especificar la IP del cliente C , el atacante especifica la IP del servidor Q en el comando de puerto.
Paso 3: ahora el atacante A envía las listas de comandos para ejecutar al servidor P. La lista incluye comandos como abrir la conexión pasiva al servidor Q desde el servidor P usando un comando de puerto, pero en lugar de proporcionar la IP del servidor P , el atacante proporciona la IP del atacante A. Por lo tanto, obtener acceso no autorizado a archivos en el servidor Q.
Paso 4: El servidor Q envía los datos solicitados por el servidor P. El servidor P luego envía estos datos al atacante A.
Los daños pueden causar
1. Pérdida de datos a un sistema no autorizado : Esta es una gran preocupación de datos. La pérdida de dichos datos puede afectar a cualquier empresa o individuo.
2. El atacante puede modificar datos confidenciales : el atacante puede modificar información confidencial que es crucial para sus necesidades. El atacante puede afirmar que libera los datos originales solo después de que cumpla con sus demandas. Esto incurrirá en enormes pérdidas para el negocio en términos de datos y dinero.
Medidas de prevención
1. Los servidores FTP modernos por defecto se encargan de tales ataques. Actualmente, los servidores FTP solo aceptan comandos PORT que inician una conexión desde el host de origen. Niega cualquier otro comando PORT que pueda intentar conectarse a diferentes dispositivos IP. Una persona puede verificar esta función predeterminada en sus sistemas.
2. Además, uno puede configurar su firewall para denegar requests en el puerto 20. El puerto 20 es el puerto predeterminado para FTP pasivo y se considera muy inseguro.
Publicación traducida automáticamente
Artículo escrito por everlyprecia y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA