Descripción de la Tecnica
TFTP Boot (Netbooting) es una técnica utilizada por adversarios para cargar un sistema operativo no autorizado en dispositivos de red a través de un servidor TFTP. Este método permite a los atacantes manipular configuraciones de dispositivos de red, especificando el uso de un servidor TFTP malicioso (MITRE: T1542.005). La técnica aprovecha la funcionalidad de netbooting, comúnmente empleada por administradores de redes para centralizar y controlar imágenes de dispositivos.
Como Funciona
El proceso involucra la configuración de un dispositivo de red para cargar su sistema operativo desde un servidor TFTP. Los adversarios pueden manipular las configuraciones del dispositivo para apuntar a un servidor TFTP no autorizado, permitiendo la inyección de código malicioso o imágenes de sistema alteradas. La falta de encriptación en TFTP facilita la interceptación y modificación de los datos transferidos durante el proceso de boot.
Actores que la Utilizan
La técnica está catalogada como un patrón de ataque en MITRE ATT&CK. Se asocia con actores que buscan explotar vulnerabilidades en dispositivos de red, especialmente aquellos que dependen de TFTP para su inicialización. No se especifican actores particulares en el contexto proporcionado.
Detección
La detección implica monitorear tráfico TFTP inusual, verificar la autenticidad de los servidores TFTP autorizados y analizar configuraciones de dispositivos para cambios no justificables. También se deben revisar registros de actividad de boot para identificar accesos a imágenes de sistema desconocidas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda: 1. Utilizar TFTP con encriptación (como TFTP over TLS). 2. Restringir acceso a servidores TFTP a dispositivos autorizados. 3. Monitorear tráfico de red para anomalías en el uso de TFTP. 4. Realizar auditorías periódicas de configuraciones de dispositivos y validar las imágenes de sistema utilizadas durante el boot.