Atributos BGP Obsoletos en la Región de LACNIC

• CVE-2023-4481 (Juniper)
• CVE-2023-38802 (FRR)
• CVE-2023-38283 (OpenBGPd)
• CVE-2023-40457 (EXOS)

Análisis de atributos obsoletos en la región de LACNIC

Desde LACNIC realizamos una investigación sobre la presencia de atributos obsoletos en los anuncios BGP vistos por el colector de LACNIC (RRC24) entre octubre de 2022 y octubre de 2024. Se analizaron los archivos BVIEWS y UPDATES por separado.
Análisis de BVIEWS.
Los resultados revelaron la presencia de tres atributos obsoletos:

• N° 20: Connector Attribute
• N° 21: AS_PATHLIMIT
• N° 243: Deprecated [RFC8093]

Se observan 16 ASN distintos como orígenes de los anuncios con estos atributos obsoletos. Del gráfico se desprende un aumento en la cantidad de anuncios con el atributo 21 hacia el final del período.
Si se considera la cantidad de anuncios para cada ASN por separado, se observó que 3 ASN comienzan a anunciar con el atributo 21 a partir del 21 de agosto de agosto del 2024. Y un cuarto ASN tiene un fuerte aumento de anuncios por esas fechas aportando al incremento.
En la información obtenida de los BVIEWS no se observan anuncios con el atributo n.º 28 Entropy Label, el cual se menciona en los artículos que originaron este análisis. Por lo que se decide analizar los mensajes UPDATES para el mismo período.

Análisis de UPDATES.

Los resultados revelaron la presencia de tres atributos obsoletos:

• N° 20: Connector Attribute
• N° 21: AS_PATHLIMIT
• N° 28: Entropy Label
• N° 243: sin identificar

A continuación, se muestra la cantidad de updates con cada uno de los atributos obsoletos mencionados anteriormente, para el período considerado.

En primer lugar, con el atributo 20 se observa una alta variabilidad en la cantidad de updates con picos entre 200 y 750 updates por día. El 11 de junio del 2023, hay un pico de más de 26000 updates.

Para el caso del atributo 21, desde inicios de octubre del 2022 se puede notar un incremento en la cantidad de mensajes update. El pico con 1170 updates se da el 1 de febrero de 2024.

Continuando con el atributo 243, se observó su presencia durante aproximadamente un año dentro del periodo considerado desde el 8 de diciembre del 2022 hasta el 13 de noviembre del 2023, como se puede ver en la figura a continuación:

Por último, el atributo 28 que, como se menciona anteriormente, fue catalogado como vulnerabilidad por el CMU. Para el caso del colector de LACNIC RRC24, este atributo no tuvo mucha presencia como se puede observar en la siguiente figura:

Para el caso de los mensajes UPDATE se obtuvieron 23 ASN como orígen de los anuncios con atributos obsoletos de 11 países distintos. Entre ellos se incluyen Argentina y Brasil de la región de LACNIC.
En la tabla a continuación se muestra la cantidad de mensajes updates con atributos obsoletos por país del ASN de origen:

Mitigación

Para mitigar los riesgos asociados a los mensajes UPDATE con atributos obsoletos, es necesario que las implementaciones de BGP sean compatibles con la RFC 7606. Esta recomendación establece cómo manejar errores en mensajes UPDATE sin reiniciar la sesión BGP por completo, asegurando una mayor estabilidad frente a atributos desconocidos o no implementados.
Algunos proveedores aplican este manejo de errores por defecto, mientras que en otros es necesario habilitarlo manualmente.
Ejemplos de configuraciones:

Juniper
set protocols bgp bgp-error-tolerance
Nokia
[router bgp group]
error-handling update-fault-tolerance

Por detalles de otros proveedores ver las referencias.

Implementar estas estrategias de mitigación contribuye a fortalecer la resiliencia y seguridad del enrutamiento BGP, minimizando el riesgo de interrupciones y mejorando la estabilidad de la conectividad a largo plazo.

Referencias

https://www.kb.cert.org/vuls/id/347067
https://blog.benjojo.co.uk/post/bgp-path-attributes-grave-error-handling