Inicio / Para Expertos / EtherOops: un nuevo ataque permite a los piratas informáticos explotar un error en los cables Ethernet para evitar los firewalls y NAT

EtherOops: un nuevo ataque permite a los piratas informáticos explotar un error en los cables Ethernet para evitar los firewalls y NAT

Los investigadores dieron a conocer un método muy nuevo que ayuda a aprovechar una vulnerabilidad en los cables Ethernet para evitar los firewalls y NAT.

Anteriormente, esta explotación se consideraba no explotable; pero, ahora la debilidad fue nombrada como Etheroops. Esta vulnerabilidad solo funciona si la red del sistema objetivo incluye cables Ethernet defectuosos en la ruta de los atacantes a las víctimas.

Cómo funciona Etheroops

El equipo de investigación de Armis describió que el ataque de Etheroops es principalmente un ataque de paquete en paquete. Estos ataques generalmente se usan cuando los paquetes de red se colocan uno dentro del otro.

En un paquete de datos normal lleva adentro uno con el código malicioso buscado o varios comandos. En este caso el paquete principal es benigno y permite que la carga útil del ataque se mueva con la ayuda de la primera protección de red, como firewalls u otros productos de seguridad.

Si bien los ataques de “inner case” son sobre dispositivos que están dentro de la red, es por eso que la carcasa de red no altera su funcionamiento y se oculta gracias a esa técnica.

Ahora los cables Ethernet defectuosos entran en acción, pero el cable Ethernet defectuoso experimenta una intervención eléctrica no deseada, y las partes internas del paquete real comienzan a voltearse. Esta acción comienza a dañar lentamente la parte externa del paquete y deja activa la parte más interna.

Requisitos previos para un ataque exitoso

Los investigadores de seguridad han afirmado que existen algunos requisitos previos para que este ataque tenga éxito, y hemos mencionado a continuación las necesidades de este ataque paso a paso.

1) Envío de paquetes benignos a través del Firewall / NAT

Este paso incluye el proceso de enviar una secuencia de paquetes benignos, por un firewall / NAT.

2) La aparición de cambios de bits (o: cables defectuosos)

En este proceso, se espera que los cambios de bits funcionen correctamente, ya que requiere una ocurrencia aleatoria en los cables Ethernet de destino. Pero, cuando los expertos en seguridad observaron diferentes segmentos de su base de instalación, observaron diferentes tasas de error.

3) Manipulación de suma de control (o: Encontrar direcciones MAC internas)

Este proceso funciona después de que se produce el cable Ethernet, por eso una herramienta de suma de verificación que está disponible en los encabezados de trama de Ethernet ayuda a identificar los archivos dañados.

Ataque de proximidad basado en EMP

Según los investigadores, el cable Ethernet defectuoso tiene antecedentes de interferencia electromagnética (EMI). Es por eso que los investigadores llevaron a cabo un experimento, que es un cable que no está protegido, que conduce una señal atenuada, y esta señal se vuelve susceptible a niveles más altos de EMI.

Puede haber algunos dispositivos específicos que transmiten un pulso electromagnético que pueden crear este tipo de perturbación que son el arma EMP. Este dispositivo utiliza vibraciones de banda ancha que se encuentran entre 100MHz y 2GHz para interferir con cualquier cableado de hasta 5 centímetros.

La celda interna que es el caso más interno no es tan segura, ya que contiene todo tipo de datos y comandos maliciosos.

Escenario de ataque con un clic

En este escenario, los atacantes dirigen su objetivo a un sitio web malicioso, que es controlado por ellos, enviando a los objetivos un enlace malicioso. Una vez que el usuario envía los paquetes salientes al servidor controlado por el atacante, obtiene la autorización para enviar una oleada de paquetes buenos a los objetivos que viajarán dentro de toda la red.

Escenario de ataque de proximidad de zero click

En este escenario de ataque, el flujo de paquetes buenos se mueve dentro de las defensas de seguridad del perímetro de la red (firewall / NAT) del usuario, y esto es posible solo si el atacante logra engañar la respuesta DNS desde la dirección IP del resolutor DNS del usuario.

Todos estos procedimientos dependen del atacante, ya que él / ella decide qué método preferirá entre todos estos métodos de cable Ethernet.

Además, los investigadores de seguridad están encontrando todas las variantes para que los usuarios puedan conocer perfectamente los procedimientos de EMI.

 

 

 

 

 

Vea También

Pruebas de penetración de cajeros automáticos: métodos de prueba avanzados para encontrar las vulnerabilidades

Pruebas de penetración de cajeros automáticos, los piratas informáticos han encontrado diferentes enfoques para piratear …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.