Un reciente estudio sobre ciberataques de denegación de servicio (DoS) y sus variantes ha revelado un uso alarmante del protocolo CharGEN para ejecutar ataques DoS distribuidos reflejados (DrDoS).
El Character Generator Protocol, comúnmente conocido como CharGEN, fue inicialmente diseñado para tareas de depuración y medición en redes. Este protocolo, que opera siguiendo las especificaciones de la RFC 864 y utiliza el puerto 19 tanto en UDP como en TCP, es capaz de enviar un flujo constante de bytes. Aunque está integrado en sistemas Unix mediante demonios inetd o xinetd, su activación por defecto no es una práctica común.
El problema surge cuando CharGEN se usa con protocolos de transporte UDP, haciéndolo susceptible a ataques DoS. Los ciberatacantes aprovechan vulnerabilidades en servidores CharGEN públicos, frecuentemente ubicados en impresoras que carecen de actualizaciones rápidas. Utilizando una botnet, los atacantes envían peticiones con direcciones IP de origen falseadas. Los servidores CharGEN intermedios responden con datos amplificados a la víctima, causando un colapso del equipo objetivo.
Para detectar la exposición de un servidor CharGEN, se recomienda buscar reglas de firewall que permitan el puerto 19 UDP hacia el exterior o ejecutar comandos como sudo nmap -sU -p19 [IP del servidor] -oG – para verificar si el puerto 19 está abierto.
Las principales medidas preventivas incluyen actualizar software a tecnologías más modernas, definir protocolos claros de respuesta a incidentes DrDoS, solicitar filtros antispoofing al proveedor de servicios, configurar cortafuegos para detectar y filtrar peticiones falseadas, limitar la visibilidad del servidor mediante filtración de direcciones IP, y utilizar sistemas IDS/IPS para monitorización de tráfico.
Para detectar dispositivos CharGEN usados en ataques DrDoS, se aconseja revisar la caché y monitorizar actividad anómala relativa al puerto 19, así como implementar un sistema SIEM que facilite la identificación de estos ataques.
En caso de ser víctima de un ataque DrDoS, se deben tomar acciones como identificar direcciones IP y puertos afectados, desconectar dispositivos comprometidos, contactar al proveedor de Internet, bloquear tráfico no deseado y buscar asistencia de centros de respuesta a incidentes (CERT).
Es crucial evaluar los daños posteriores al ataque y tomar medidas preventivas para evitar futuros incidentes. Además, se sugiere denunciar estos ataques a las autoridades competentes para facilitar investigaciones y posibles medidas legales.
