Los servicios de Google fueron parcialmente inaccesibles el lunes debido a una fuga de BGP que causó la redirección del tráfico a través de Rusia, China y Nigeria.
Una fuga de BGP causó la falta de disponibilidad del servicio de Google el lunes, el tráfico se redirigió a través de Rusia, China y Nigeria.
En el momento no está claro si el incidente fue el resultado de un error o un ataque cibernético en el protocolo BGP.
No está claro si el incidente fue causado por un problema de configuración o si fue el resultado de un ataque malicioso.
El secuestro de rutas, también conocido como secuestro de BGP, se produce cuando las tablas de enrutamiento para grupos de direcciones IP se corrompen de forma intencional o accidental.
Recientemente, los investigadores de seguridad Chris C. Demchak y Yuval Shavitt revelaron que en los últimos años, China Telecom ha estado dirigiendo mal el tráfico de Internet a través de China.
China Telecom está actualmente presente en redes norteamericanas con 10 puntos de presencia (PoPs) (ocho en los Estados Unidos y dos en Canadá), que abarcan los principales puntos de intercambio.
Los dos investigadores señalaron que la compañía de telecomunicaciones aprovecha los PoPs para secuestrar el tráfico a través de China, esto ha sucedido varias veces en los últimos años.
"Dentro de las tablas de reenvío de BGP, los administradores de cada AS anuncian a sus vecinos de AS los bloques de direcciones IP que posee su AS, ya sea para usarlos como destino o como un conveniente nodo de tránsito", indica el documento .
“Los errores pueden ocurrir dada la complejidad de la configuración de BGP, y estos posibles errores ofrecen a los actores encubiertos una serie de oportunidades de secuestro. Si la red AS1 anuncia erróneamente a través de su BGP que posee un bloqueo de IP que en realidad es propiedad de la red AS2, el tráfico de una parte de Internet destinada a AS2 se enrutará a través de AS1. Si el anuncio erróneo se arregló maliciosamente, se produjo un secuestro de BGP ".
Las últimas fugas de BGP fueron reportadas por primera vez por la firma de monitoreo de redes ThousandEyes, el tráfico a los servicios de Google, incluyendo Search, G Suite y varios servicios de Google Cloud, se dirigió a través de TransTelecom en Rusia, el ISP principal de Nigeria y China Telecom.
“El 12 de noviembre de 2018, entre la 1:00 PM y las 2:23 PM PST, ThousandEyes notó problemas al conectarse a G Suite, una aplicación crítica para nuestra organización. Al revisar las estadísticas de ThousandEyes Endpoint Agent, notamos que esto estaba afectando a todos los usuarios en la oficina de ThousandEyes ". Lee el análisis publicado en Thousandeyes.
“La interrupción no solo afectó a G Suite, sino también a la Búsqueda de Google, así como a Google Analytics. Lo que nos llamó la atención fue que el tráfico a Google se estaba reduciendo en China Telecom. ¿Por qué el tráfico desde una oficina de San Francisco que atraviesa a Google llega hasta China? También notamos un ISP ruso en la ruta del tráfico, lo que definitivamente provocó algunas preocupaciones ".
ThousandEyes especularon que el origen de esta filtración fue la relación de emparejamiento de BGP entre el proveedor nigeriano MainOne y China Telecom, de todos modos no está claro si las fugas de BGP fueron el resultado de un ataque intencional o una mala configuración en MainOne
"Este incidente causó, como mínimo, una denegación de servicio masiva a G Suite y la Búsqueda de Google. Sin embargo, esto también puso el valioso tráfico de Google en manos de los ISP en países con una larga historia de vigilancia de Internet ”, continúa el análisis publicado por ThousandEyes.
“En general, ThousandEyes detectó más de 180 prefijos afectados por esta fuga de ruta, que cubre una amplia gama de servicios de Google. Nuestro análisis indica que el origen de esta filtración fue la relación de emparejamiento de BGP entre MainOne, el proveedor nigeriano y China Telecom. "
"Nuestro análisis indica que el origen de esta filtración fue la relación de emparejamiento de BGP entre MainOne, el proveedor nigeriano y China Telecom. "MainOne tiene una relación de pares con Google a través de IXPN en Lagos y tiene rutas directas a Google, que se filtraron a China Telecom".
Google confirmó que la causa raíz del incidente era externa a los sistemas de la compañía y lanzó una investigación interna al respecto.
“A lo largo de la duración de este problema, los servicios de Google funcionaron como se esperaba y creemos que la causa raíz del problema era externa a Google. "Realizaremos una investigación interna de este problema y haremos las mejoras apropiadas a nuestros sistemas para ayudar a prevenir o minimizar la recurrencia futura", lee la página de estado de Google Cloud Platform .
Los investigadores Chris C. Demchak y Yuval Shavitt describieron muchos otros ataques de secuestro de BGP que involucran a China Telecom. Están presionando para adoptar soluciones para proteger BGP, Cloudflare, por ejemplo, sostiene que la infraestructura de clave pública de recursos (RPKI) podría asegurar el enrutamiento de BGP.
Fecha actualización el 2021-11-14. Fecha publicación el 2018-11-14. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: securityaffairs