BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

300.000 routers con sus DNS modificadas tras visitar una web maliciosa

1
Josh

La compañía Team Cymru ha identificado 300.000 direcciones IP afectadas por un ataque que aprovechando una vulnerabilidad conocida en routers D-Link, Micronet, Tenda y TP-Link, que modifica los servidores DNS configurados sustituyéndolos por otros que podrían estar en poder de los atacantes.

El cambio de DNS se produce al visitar una página web cuyo javascript, ejecutado en el navegador del usuario dentro de la red local, llama a una URL vulnerable del router con las DNS 5.45.75.11 y 5.45.75.36. Estas IP son propiedad de una compañía de hosting ubicada en Londres, 3NT Solutions, y hasta el momento se comportan como cualquier DNS. El peligro es que en algún momento empiecen a responden a las peticiones de resolución de dominio procedentes de los routers afectados con IPs falsas, por ejemplo al visitar un banco online o al mostrar un anuncio publicitario.

arstechnica.com/security/2014/03/hackers…ous-changes/

BocaDePez

Un poco fail, dedicarse a modificar 300000 routers para que luego esa empresa de hosting al verse el percal cancele los contratos de esos servidores. Lo suyo, para eso, es irse a un servidor de Irán. :P

🗨️ 4
campi

Tal vez solo sea una prueba de concepto :)

🗨️ 3
BocaDePez

Pero a ver... Es que he pensado que con "nmap -sV -sC" te haces una lista de routers vulnerables, y luego con cualquier script en Python o Perl les configuras las DNS. No hay margen de error.

Es una pérdida de tiempo no hacerlo para cuando lo quieras hacer de verdad, y no como prueba de concepto. Para cuando lo quieran hacer de verdad, igual han arreglado el firmware.

🗨️ 2
campi

Ni idea.. no estaba en la mente de los atacantes... Tal vez solo fuera un bug detectado por un grupo al que no le interesase sacar beneficio de ello y tan solo era un aviso :D

BocaDePez

No creo. Estás presuponiendo que esos routers son accesibles desde la red WAN para poder ser identificados, cuando lo típico es que no lo sean.

El ataque es inyectado desde la LAN de cada uno, via JavaScript, aprovechando que la gente normalmente no cambia las contraseñas del router.

BocaDePez

Es lo ocurrido, por ejemplo, ayer con TeleCable?

Spyd

Estaría bien saber qué modelos son los que están afectados para los que tengamos routers de alguna de estas marcas podamos comprobar si hay actualizaciones de firmware...

🗨️ 3
BocaDePez

No sé de qué marca es tu router, pero lee el enlace que viene al final de la noticia.

BocaDePez

En mi opinión mejor ponerle DD-WRT u OpenWRT si el router es compatible, con un firmware así te despreocupas de que tu router salga en las noticias de exploits (entre otras ventajas).

🗨️ 1
BocaDePez
1

Pero con la desventaja de la notable pérdida de rendimiento respecto al firmware oficial.

BocaDePez

¿Como saber si mi router está comprometido?

🗨️ 5
pegial
1

Si lleva un anillo, casi seguro que si que está... :D

🗨️ 1
heffeque

Well played, sir.

BocaDePez

Si la pareja de router te parte la cara o te denuncia por adulterio,blanco y en botella macho

🗨️ 2
BocaDePez

¿Denuncia por adulterio? ¿Nueva ley del PP?

🗨️ 1
BocaDePez

noooo

eso ya existe y multan a los bares por dar garrafon es decir por adulteriar las bebidas