Atributos BGP Obsoletos na Região do LACNIC
28/01/2025
Por Guillermo Pereyra, Analista de Segurança no LACNIC, e Elisa Peirano, Analista de Dados de I+D no LACNIC
Em 2023, observou-se a queda de inúmeras sessões BGP devido à presença de atributos obsoletos nos anúncios BGP. Este incidente, que impactou a conectividade de diversos sistemas autônomos (AS), evidenciou a importância de manter uma infraestrutura de roteamento robusta e atualizada.
O que são os atributos BGP?
O protocolo BGP (Border Gateway Protocol) é fundamental para o funcionamento da Internet, pois permite que os Sistemas Autônomos (AS) troquem informações de rotas. As mensagens BGP UPDATE desempenham um papel essencial nesse processo, uma vez que anunciam novas rotas, modificam as existentes ou retiram aquelas que não são mais válidas. Essas mensagens incluem atributos que descrevem as características da rota, como o prefixo IP e a lista de AS pelos quais o tráfego passa.
Com o tempo, alguns atributos BGP tornam-se obsoletos devido a avanços tecnológicos ou mudanças nas necessidades operacionais. A IANA e os grupos de trabalho do IETF são responsáveis por gerenciar a criação e a obsolescência desses atributos.
A presença de atributos BGP obsoletos na rede pode gerar diversos problemas, como:
- Incompatibilidade entre roteadores: Diferentes versões de software podem interpretar atributos obsoletos de diferentes formas, o que pode levar à queda de sessões BGP ou à propagação de informações incorretas.
- Vulnerabilidades de segurança: Atributos obsoletos podem ser explorados por atacantes para manipular o tráfego ou causar interrupções no serviço.
- Complexidade desnecessária: A persistência de atributos obsoletos aumenta a complexidade da gestão da rede e dificulta a resolução de problemas.
O caso do atributo “Entropy Label”
Em 2 de junho de 2023, um Sistema Autônomo (AS) brasileiro anunciou uma de suas rotas com o atributo 28 (Entropy Label) ativado e marcado como transitivo, o que implica que ele deveria ser propagado para outros roteadores.
No entanto, o atributo BGP Entropy Label causou a queda de sessões BGP em roteadores além dos pares diretos do AS. Esse problema foi identificado em diferentes implementações do BGP, onde algumas versões lidaram de forma errada com esse atributo.
Essa falha foi classificada como uma vulnerabilidade, frisando a necessidade de manter a consistência nas implementações do BGP, conforme o estado dos atributos obsoletos, a fim de evitar interrupções semelhantes no futuro.
Lista de dispositivos vulneráveis a ataques com atributos BGP malformados.
- CVE-2023-4481 (Juniper)
- CVE-2023-38802 (FRR)
- CVE-2023-38283 (OpenBGPd)
- CVE-2023-40457 (EXOS)
Análise de atributos obsoletos na região do LACNIC
No LACNIC, realizamos uma investigação sobre a presença de atributos obsoletos nos anúncios BGP observados pelo coletor do LACNIC (RRC24) entre outubro de 2022 e outubro de 2024. Os arquivos BVIEWS e UPDATES foram analisados separadamente.
Análise de BVIEWS
Os resultados revelaram a presença de três atributos obsoletos:
- N° 20: Connector Attribute
- N° 21: AS_PATHLIMIT
- N° 243: Deprecated [RFC8093]
Foram observados 16 ASNs diferentes como origem dos anúncios com esses atributos obsoletos. A partir do gráfico, nota-se um aumento na quantidade de anúncios com o atributo 21 próximo ao final do período.
Se considerarmos a quantidade de anúncios para cada ASN separadamente, observou-se que 3 ASNs começaram a anunciar com o atributo 21 a partir de 21 de agosto de 2024. Além disso, um quarto ASN apresentou um aumento significativo de anúncios nesse período, contribuindo para o crescimento observado.
Nas informações obtidas do BVIEWS, não foram encontrados anúncios com o atributo nº 28 Entropy Label, mencionado nos artigos que originaram esta análise. Por esse motivo, decidiu-se analisar as mensagens UPDATES para o mesmo período.
Análise de UPDATES
Os resultados revelaram a presença de três atributos obsoletos:
- N° 20: Connector Attribute
- N° 21: AS_PATHLIMIT
- N° 28: Entropy Label
- N° 243: nao identificado
A seguir, é apresentada a quantidade de updates com cada um dos atributos obsoletos mencionados anteriormente, para o período considerado.
Em primeiro lugar, com o atributo 20, observa-se uma alta variabilidade na quantidade de updates, com picos entre 200 e 750 updates por dia. No dia 11 de junho de 2023, ocorre um pico de mais de 26.000 updates.
No caso do atributo 21, desde o início de outubro de 2022 pode-se notar um aumento na quantidade de mensagens update. O pico, com 1.170 updates, ocorre em 1º de fevereiro de 2024.
Continuando com o atributo 243, sua presença foi observada durante aproximadamente um ano no período considerado, de 8 de dezembro de 2022 a 13 de novembro de 2023, como pode ser visto na figura a seguir:
Por último, o atributo 28, que, como mencionado anteriormente, foi classificado como uma vulnerabilidade pelo CMU. No caso do coletor do LACNIC RRC24, esse atributo teve pouca presença, como pode ser observado na figura a seguir:
No caso das mensagens UPDATE, foram identificados 23 ASNs como origem dos anúncios com atributos obsoletos, provenientes de 11 países diferentes. Dentre eles, incluem-se a Argentina e o Brasil, da região do LACNIC.
A tabela a seguir apresenta a quantidade de mensagens UPDATE com atributos obsoletos por país de origem do ASN:
| País | # updates |
| Austrália | 34603 |
| Estados Unidos | 23488 |
| Reino Unido | 5236 |
| Hong Kong | 2055 |
| Argentina | 712 |
| China | 38 |
| Camboja | 36 |
| Índia | 23 |
| Canadá | 18 |
| Brasil | 4 |
| Polônia | 2 |
Para mitigar os riscos associados às mensagens UPDATE com atributos obsoletos, é necessário que as implementações de BGP sejam compatíveis com a RFC 7606. Essa recomendação define como lidar com erros em mensagens UPDATE sem reiniciar completamente a sessão BGP, garantindo maior estabilidade diante de atributos desconhecidos ou não implementados.
Alguns provedores aplicam esse tratamento de erros por padrão, enquanto outros exigem ativação manual.
Exemplos de configuração:
Juniper
set protocols bgp bgp-error-tolerance
Nokia
[router bgp group] error-handling update-fault-tolerance
Para detalhes de outros fornecedores, veja referências.
A implementação dessas estratégias de mitigação contribui para o fortalecimento da resiliência e da segurança do roteamento BGP, diminuindo o risco de interrupções e melhorando a estabilidade da conectividade em longo prazo.
Referências
https://www.kb.cert.org/vuls/id/347067
https://blog.benjojo.co.uk/post/bgp-path-attributes-grave-error-handling
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.