Atributos BGP Obsoletos en la Región de LACNIC
28/01/2025
Por Guillermo Pereyra, Analista de Seguridad en LACNIC y Elisa Peirano, Analista de datos I+D en LACNIC
En 2023, se observó la caída de numerosas sesiones BGP debido a la presencia de atributos obsoletos en los anuncios BGP. Este incidente, que afectó la conectividad de diversos sistemas autónomos (AS), puso en manifiesto la importancia de mantener una infraestructura de enrutamiento robusta y actualizada.
¿Qué son los atributos BGP?
El protocolo BGP (Border Gateway Protocol) es fundamental para el funcionamiento de Internet, ya que permite a los AS intercambiar información de rutas. Los mensajes BGP UPDATE son clave en este proceso, ya que anuncian nuevas rutas, modifican las existentes o retiran las que ya no son válidas. Estos mensajes incluyen atributos que describen las características de la ruta, como el prefijo IP y la lista de AS por los que pasa el tráfico.
Con el tiempo, algunos atributos BGP se vuelven obsoletos debido a avances tecnológicos o cambios en las necesidades operativas. La IANA y los grupos de trabajo del IETF se encargan de gestionar la creación y obsolescencia de estos atributos.
La presencia de atributos BGP obsoletos en la red puede generar diversos problemas, tales como:
- Incompatibilidad entre routers: Diferentes versiones de software pueden interpretar los atributos obsoletos de manera distinta, lo que puede llevar a la caída de sesiones BGP o a la propagación de información incorrecta.
- Vulnerabilidades de seguridad: Los atributos obsoletos pueden ser explotados por atacantes para manipular el tráfico o causar interrupciones en el servicio.
- Complejidad innecesaria: La persistencia de atributos obsoletos aumenta la complejidad de la gestión de la red y dificulta la resolución de problemas.
El caso del atributo “Entropy Label”
El 2 de junio de 2023, un Sistema Autónomo (AS) brasileño anunció una de sus rutas con el atributo 28 (Entropy Label) activado y marcado como transitivo, lo que implica que debía propagarse a otros routers.
Sin embargo, el atributo BGP Entropy Label provocó la caída de sesiones BGP en routers más allá de los peers directos del AS. Este problema se encontró en las diferentes implementaciones de BGP, donde ciertas versiones manejaron de forma incorrecta este atributo.
Dicha falla fue catalogada como una vulnerabilidad, destacando la necesidad de mantener la coherencia en las implementaciones de BGP, de acuerdo al estado de los atributos obsoletos, para evitar interrupciones similares en el futuro.
Lista de dispositivos vulnerables a ataques con atributos BGP mal formados.
- CVE-2023-4481 (Juniper)
- CVE-2023-38802 (FRR)
- CVE-2023-38283 (OpenBGPd)
- CVE-2023-40457 (EXOS)
Análisis de atributos obsoletos en la región de LACNIC
Desde LACNIC realizamos una investigación sobre la presencia de atributos obsoletos en los anuncios BGP vistos por el colector de LACNIC (RRC24) entre octubre de 2022 y octubre de 2024. Se analizaron los archivos BVIEWS y UPDATES por separado.
Análisis de BVIEWS.
Los resultados revelaron la presencia de tres atributos obsoletos:
- N° 20: Connector Attribute
- N° 21: AS_PATHLIMIT
- N° 243: Deprecated [RFC8093]
Se observan 16 ASN distintos como orígenes de los anuncios con estos atributos obsoletos. Del gráfico se desprende un aumento en la cantidad de anuncios con el atributo 21 hacia el final del período.
Si se considera la cantidad de anuncios para cada ASN por separado, se observó que 3 ASN comienzan a anunciar con el atributo 21 a partir del 21 de agosto de agosto del 2024. Y un cuarto ASN tiene un fuerte aumento de anuncios por esas fechas aportando al incremento.
En la información obtenida de los BVIEWS no se observan anuncios con el atributo n.º 28 Entropy Label, el cual se menciona en los artículos que originaron este análisis. Por lo que se decide analizar los mensajes UPDATES para el mismo período.
Análisis de UPDATES.
Los resultados revelaron la presencia de tres atributos obsoletos:
- N° 20: Connector Attribute
- N° 21: AS_PATHLIMIT
- N° 28: Entropy Label
- N° 243: sin identificar
A continuación, se muestra la cantidad de updates con cada uno de los atributos obsoletos mencionados anteriormente, para el período considerado.
En primer lugar, con el atributo 20 se observa una alta variabilidad en la cantidad de updates con picos entre 200 y 750 updates por día. El 11 de junio del 2023, hay un pico de más de 26000 updates.
Para el caso del atributo 21, desde inicios de octubre del 2022 se puede notar un incremento en la cantidad de mensajes update. El pico con 1170 updates se da el 1 de febrero de 2024.
Continuando con el atributo 243, se observó su presencia durante aproximadamente un año dentro del periodo considerado desde el 8 de diciembre del 2022 hasta el 13 de noviembre del 2023, como se puede ver en la figura a continuación:
Por último, el atributo 28 que, como se menciona anteriormente, fue catalogado como vulnerabilidad por el CMU. Para el caso del colector de LACNIC RRC24, este atributo no tuvo mucha presencia como se puede observar en la siguiente figura:
Para el caso de los mensajes UPDATE se obtuvieron 23 ASN como orígen de los anuncios con atributos obsoletos de 11 países distintos. Entre ellos se incluyen Argentina y Brasil de la región de LACNIC.
En la tabla a continuación se muestra la cantidad de mensajes updates con atributos obsoletos por país del ASN de origen:
| País | # updates |
| Australia | 34603 |
| Estados Unidos | 23488 |
| Reino Unido | 5236 |
| Hong Kong | 2055 |
| Argentina | 712 |
| China | 38 |
| Camboya | 36 |
| India | 23 |
| Canadá | 18 |
| Brasil | 4 |
| Polonia | 2 |
Mitigación
Para mitigar los riesgos asociados a los mensajes UPDATE con atributos obsoletos, es necesario que las implementaciones de BGP sean compatibles con la RFC 7606. Esta recomendación establece cómo manejar errores en mensajes UPDATE sin reiniciar la sesión BGP por completo, asegurando una mayor estabilidad frente a atributos desconocidos o no implementados.
Algunos proveedores aplican este manejo de errores por defecto, mientras que en otros es necesario habilitarlo manualmente.
Ejemplos de configuraciones:
Juniper
set protocols bgp bgp-error-tolerance
Nokia
[router bgp group]
error-handling update-fault-tolerance
Por detalles de otros proveedores ver las referencias.
Implementar estas estrategias de mitigación contribuye a fortalecer la resiliencia y seguridad del enrutamiento BGP, minimizando el riesgo de interrupciones y mejorando la estabilidad de la conectividad a largo plazo.
Referencias
https://www.kb.cert.org/vuls/id/347067
https://blog.benjojo.co.uk/post/bgp-path-attributes-grave-error-handling
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.