📰 Artículos

El Gobierno detecta un aumento inusual de ataques contra routers domésticos

Joshua Llorach 24 septiembre 2015 10:43

⋮

La Oficina de Seguridad del Internauta, dependiente en última instancia del Ministerio de Industria, asegura haber detectado un aumento inusual de ataques contra routers domésticos en España. El objetivo es crear redes botnet para lanzar ataques de denegación de servicio desde las redes de proveedores de internet.

En los últimos días la red de sensores de INCIBE ha registrado más de 5.000 ataques contra determinados modelos de routers usados por los proveedores de internet en España. En todos los casos, el objetivo son dispositivos con los credenciales por defecto y con la opción de administración remota activada.

El INCIBE explica en su blog que el origen de los ataques proviene de 38 países distintos, entre ellos España. En nuestro país, el único ISP desde el que se están lanzando ataques es Jazztel, con toda probabilidad porque algunos de sus clientes han sido infectados previamente.

osi.es/es/actualidad/avisos/2015/09/dete…ts-o-zombies

💬 Comentarios

Bramante 24 septiembre 2015 12:34

⋮

Los routers son a menudo los grandes olvidados, viene la compañía, me pone el chisme con luces, me dan una tarjetita con la contraseña "del WiFi" y nunca más se supo.

Y claro, pues es un elemento a atacar porque una vez infectado, con el poco caso que el usuario medio le hace al router, tienes un filón.

BocaDePez 24 septiembre 2015 12:59

⋮

Lo de Jazztel es alucinante.

Ahora no lo sé, pero durante años instalaban un router con una configuración que permitía entrar desde fuera con el admin-admin.

Creo que en España no hay otra compañía que haya hecho lo mismo, en todos los routers viene desactivada la opción para entrar.

Haced la prueba si queréis. Hacéis un script simple con un telnet 80 mismo recorriendo un rango de Jazztel. Luego entráis en el router con el admin-admin. O en el 8080 si han puesto un servicio web, momento en que el router desvía la configuración a ese puerto automáticamente.

Escribí un artículo a una web especializada hace años alertando del problema. Ni se molestaron en contestarme.

También escribí a Jazztel para que cambien la configuración de todos los routers de manera remota. TAmpoco contestaron. Aunque en realidad, dudo que Jazztel pueda hacer cambios remotos aunque la configuración por defecto esté configurada por para permitirlo. Supongo que ahora estarán más ordenados, pero durante años han sido unos chapuzas.

✖

Bramante 24 septiembre 2015 13:20

⋮

Si es que parece que a los primeros que les ha importado una miedda la seguridad de sus dispositivos ha sido a las operadoras.

Por ejemplo, lo que tú dices, es demencial que un router tenga activo por defecto la gestión remota con las credenciales por defecto.

BocaDePez 24 septiembre 2015 18:52

⋮

Yo de Jazztel solo tuve el clásico Comtrent CT-536 y el acceso WAN estaba desactivado.

Soy cliente suyo desde hace 8 años, podrías especificar mejor a qué época te refieres y a qué modelos.

✖

BocaDePez 24 septiembre 2015 19:16

⋮

De ese modelo era, como mínimo, la tónica habitual tenerlo abierto.

Te invito a que hagas la prueba (pero no jodas al dueño).

Script para recorrer rango, telnet 80, y en log guardas sólo los que no salga error.

Luego entras y te toparás con, por ejemplo, ese modelo. Se ve fácil por la versión del firmware.

BocaDePez 27 septiembre 2015 11:45

⋮

está claro que eres nuevo aquí, no viviste los días del adminttd

BocaDePez 28 septiembre 2015 11:20

⋮

Creo que te confundes, la seguridad, viene porque no es accesible desde una ip externa que no sea la tuya, por lo que no hay ningun problema de que tu desde tu red local te conectes como admin/admin

✖

BocaDePez 1 octubre 2015 21:19

⋮

Creo que lo de leer no se te da bien.

Está muy claro explicado que se puede acceder desde tu casa mismo a esos routers.

Hay cursos de comprensión lectora.

BocaDePez 24 septiembre 2015 13:20

⋮

habria que aclarar si se pueden quitar todos los servicios de la lista del router que salen a internet, o si hay que dejarlos para que el isp haga el mantenimiento remoto, porque si ellos no los estan usando, el telnet, el ssh etc, me pregunto para que cojones estan activados por defecto en el lado wan

y hasta que no sepamos si realmente tenemos que quitarlos todos y el router va a seguir funcionando bien o que va a pasar pues todo esto que se habla no sirve de mucho

✖

NetSpot 24 septiembre 2015 17:43

⋮

Se pueden quitar.

Cuando hacen gestión remota lo hacen, o harían, como, por ejemplo, Ono, desde su red privada. No necesitan abrir puertas a Internet para ello.

En España, con ADSL, que yo sepa (y podría equivocarme) no hacen gestión remota. Y menos la harían por Internet, a pelo. A mí, cuando he tenido routers, además de no ser "los oficiales", cuando los he tenido, nunca me han tocado las configuraciones.

La característica de "gestión remota" de los routers es para que las use el usuario, valga la redundancia.

Si no la utilizas, ¿para qué la dejas habilitada?

✖

Spyd 25 septiembre 2015 10:08

⋮

No termino de entender (aunque no me sorprende) esto de que esté por defecto la interfaz del router activada para la WAN.

El procedimiento correcto que siempre se ha usado en routers preconfigurados de operadora es que tienen el interfaz del router (sea por telnet o por web) activado para la WAN, pero limitado a una IP o a un rango pequeño que sólo es propiedad del operador, de manera que aunque está abierto, sólo acepta conexiones desde unas IPs estáticas que sólo pertenecen al servicio técnico del operador de turno.

Esto ha existido prácticamente desde los inicios del ADSL, y por eso me extraña, ya que es raro que la operadora no configurara el filtro en el acceso por WAN, o que no se diese cuenta y solucionara el problema mediante una actualización del firmware que reestableciera esa configuración.

BocaDePez 24 septiembre 2015 14:33

⋮

"El Gobierno"

Jajaja, me cago en la mar.