Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Indicios de un gusano que escanea routers ADSL de Telefónica para secuestrar los DNS

Josh

Algunos modelos de routers domésticos proporcionados por Telefónica a sus clientes ADSL, son el caldo de cultivo para que arañas que escanean secuencialmente rangos de IP's en busca de dispositivos vulnerables, modifiquen los DNS utilizados por los usuarios con el objetivo de interceptar silenciosamente la navegación. Telefónica confirma que está trabajando en el tema.

La consultora de seguridad S21SEC hace referencia a "un rumor por las redes sociales y algunos foros Underground de una grave vulnerabilidad en los routers ADSL de Telefónica que estaba siendo explotada masivamente". Aunque nosotros no hemos podido encontrar evidencias contrastables de que esto ya esté ocurriendo en la red de Telefónica, si podemos asegurar que se reúnen los ingredientes suficientes para que un ataque de este tipo se esté produciendo. Y no es nada extraño, porque así ocurre en otros proveedores de internet que utilizan los mismos modelos de router que Telefónica.

El funcionamiento es el siguiente:

  1. En una primera fase se buscan routers que tengan el interfaz de administración web abierto hacia la WAN, de forma que sea posible acceder a él desde Internet. Esto se hace mediante bots que escanean secuencialmente todos los rangos de IP's asignados a un ISP en busca de dispositivos vulnerables.
  2. A continuación se comprueba si el router responde a un fallo de algunos routers con chipset Broadcom. La vulnerabilidad (por llamarlo de una forma suave, ya que se trata de un grave fallo de diseño del firmware) consiste en que al llamar a la URL (link roto), el HTML devuelto contiene en texto plano las credenciales de acceso root.
  3. El siguiente paso es llamar a la URL /dnscfg.cgi para sustituir la DNS configuradas por nuestra operadora por unos servidores bajo el control del atacante.
  4. A partir de ese momento, la peticiones DNS realizadas desde la red local pueden ser alteradas para dirigir la navegación del usuario hacían las webs que decida el atacante. No solo pueden introducir publicidad, por ejemplo cuando escribimos una URL errónea, sino que fácilmente pueden sustituir URLs legítimas, como la de un banco, por réplicas falsas diseñadas para robar las claves de acceso.

Como puede verse, la piedra angular del ataque está en el fallo garrafal de password.cgi, entregando directamente el usuario y clave en un fragmento de JavaScript. Por el momento la solución es deshabilitar el acceso a la interfaz de administración web desde la WAN.

Actualizado: Un responsable del foro oficial de Telefónica confirma que están buscando una solución:

Nuestros compañeros de homologación de dispositivos ya están con este tema, habiendo sido reportado a los fabricantes con objeto de subsanar dichas anomalías.

BocaDePez
BocaDePez

No entiendo, ¿desabilitar el acceso remoto desde WAN? ¿No está bloqueado por defecto?

🗨️ 6
Serakon

Mas vale mirar la configuración y cerciorarte de que esta desactivado.

🗨️ 3
BocaDePez
BocaDePez

Aunque lo desactives, si luego un día cualquiera se le vá la olla al router y se resetea, o lo resetean remotamente por cuestiones de mantenimiento, ya lo tenemos de nuevo habilitado.

Es igual que el puñetero wifi, que lo configuras para desahabilitarlo y de repente, un día aparece de nuevo habilitado "por arte de magia". Anda que no he quitado antenas wifi para asegurarme que no esté accesible.

🗨️ 2
BocaDePez
BocaDePez

Desactiva el TR-69 y ya no podrán modificar nada desde el proveedor.

🗨️ 1
BocaDePez
BocaDePez

No puedes optar por la flamenca e ir por ahí desabilitando tr-069 a todo el mundo, menos aun si es una empresa, y en parte negándole parte el servicio que le corresponde. Porque puede ser necesario e importante, como en este caso.

BocaDePez
BocaDePez

Sí, está deshabilitado por defecto, no hay que ponerse histérico, sólo estar al tanto...

BocaDePez
BocaDePez

Siguiendo estos consejos la facilidad de explotar esta vulnerabilidad queda muy atenuada, pero advertimos que en S21Sec hemos encontrado más formas de explotar las vulnerabilidades que las que han hecho públicas en diferentes fuentes. En el momento en el que se publique un parche por parte de Comtrend o Telefónica, seguramente un cambio del firmware, informaremos.

foro.hackhispano.com/threads/41089-Grave…de-Telefnica

BocaDePez
BocaDePez

Un gusano ? pero como lo hace ? pasa por dentro de los hilos del teléfono ?

Qué raro, no?

🗨️ 6
BocaDePez
BocaDePez

alguien dejo una manzana a medio comer con gusano dentro cerca del pc y por la noche el gusano se muda al pc, pasa a menudo, yo tengo una huerta de geranios dentro con conejos silvestres

🗨️ 5
BocaDePez
BocaDePez

si esta claro... el problema es de los appel... ains este jobs.....:D

Serakon

ademas los gusanos se reproducen muy rápido, así que cuidado si alguien tiene algo de necrosis en alguna parte del cuerpo y se le pase del pc a su cuerpo.

🗨️ 3
BocaDePez
BocaDePez

Si? Chicos que me estáis poniendo el miedo en el cuerpo.

Así, mejor desconecto el ordenador y la cajita blanca que me puso el técnico de movistar para conectar el ordenador.

🗨️ 2
Emad
2

No solo esto, desinfectar con gasolina y mechero y luego envolver todo en papel de aluminio . Al final lo metes en caja fuerte de tu abuelo, te tragas la llave y no vas al baño jamas . Solucionado

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Pues a mi hace poco me pusieron un router xavi para el imagenio y adivinad:

La contraseña de la WEP (la quite en cuanto se piro el tecnico y puse wpa2-psk) era la mac del router con una X (de xavi) delante.

peaaaaaaaaaazoooooooooooo seguridad.

🗨️ 17
BocaDePez
BocaDePez
-1

xavi es un gran futbolista, y ahora ademas hace routers, que mas quieres, la contraseña es costa tuya, no va a ir por ahi organizando el juego del barsa y ademas organizandole las contraseñas de sus routers a la gente

🗨️ 1
BocaDePez
BocaDePez
-1

El exploit debe ser cosa de Pepe...

BocaDePez
BocaDePez
-2
🗨️ 13
BocaDePez
BocaDePez
BocaDePez
BocaDePez
-1
🗨️ 5
BocaDePez
BocaDePez
-1
🗨️ 2
BocaDePez
BocaDePez
BocaDePez
BocaDePez
-1
BocaDePez
BocaDePez
-1
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
sunayosi
BocaDePez
BocaDePez
spud

Habla con Teléfonica, que son los que deciden ese tipo de políticas...

BocaDePez
BocaDePez

Estaría bien que dijeran claramente que modelos de routers son los afectados

🗨️ 6
BocaDePez
BocaDePez

Si vamos y alarmar al personal con el riesgo de perder clientes?

Esto, cuanto mas desapercibido pase, mejor.

BocaDePez
BocaDePez

Si llevan meses facilitando routers con claves WAP por defecto que se sacan en un minuto y no han hecho nada a pesar de ser una vulnerabilidad conocida y explotable solo con hacer dos clicks de ratón, ¿de verdad crees que van a hacer algo por un rumor?

🗨️ 1
BocaDePez
BocaDePez

Fíjate que yo pensaba que las claves que se descifraban en un minuto eran las GPRS...

Paz :P

BocaDePez
BocaDePez

Comtrend

BocaDePez
BocaDePez

Modems ADSL Afetados
- D-Link DSL-500B (confirmado)
- D-Link DSL-2640B (confirmado)
- Comtrend CT-5072 (a confirmar)
- Comtrend CT-5372 (a confirmar)
- Comtrend CT-5367 (confirmado)
- Pikatel Airmax 101 (confirmado)
linhadefensiva.org/forum/?showtopic=138865

🗨️ 1
BocaDePez
BocaDePez

Pues fijate que cosas... de esos no se ha instalado en España ni uno. Hay quendevé. Tanta mierda noticia para asustara a la peña y resulta que no se han puesto en España y que en otros paises, ademas, se estan cambiando los afectados sin coste.

A alguna boca de pez le canta el aliento a pescao podrido.

BocaDePez
BocaDePez

Alguien sabe si se puede denunciar a telefonica en caso de verse afectado?

Deberiamos crear una plataforma de afectados y meterles una demanda conjunta a los jetas de vomistar.

🗨️ 10
joseangel

Claro, ¿y porqué no demandas a Microsoft por los bugs que ha sufrido en el pasado? ¿Y a Samsung por los problemas en Android? O mejor, demanda a tu tienda de ordenadores por venderte un PC con Windows y a Vodafone por venderte un Samsung con Android.

🗨️ 5
BocaDePez
BocaDePez

No lo puedes demandar porque Microsoft te avisa, en la letra pequeña de la licencia, que ellos no se hacen responsable de esto y lo otro, o sea, que tú compras software defectuoso y encima te jodes.

Yo no he sufrido ningún bug de Windows porque estoy usando GNU/Linux Wheezy, y a quien no le guste que se aguante.

🗨️ 4
BocaDePez
BocaDePez

como si linux estuviera libre de "bugs"... di mas bien que has tenido la suerte de que no te ha tocado un "bug" que te afecte directamente. Se lo que es tener "bugs" en linux, se lo que es que linux se cuelgue ( y no un vez no...) y distros bien "robustas".

Pero bueno... normal.

🗨️ 3
BocaDePez
BocaDePez

Empezando que tú ni siquiera sabes distinguir entre GNU y Linux, el mayor bug es el usuario que está delante del teclado. GNU/Linux es un sistema amigable porque es GNU/Linux quien elige a sus amigos.

Mientras haya una sola persona usando software propietario, como el Windows, esta civilización jamás será una civilización libre y avanzada.

Los bug del software libre, una vez detectados, se reparan en cuestión de horas..., mientras que el software propietario los esconde debajo de las alfombras.

🗨️ 1
BocaDePez
BocaDePez

Cuenta, cuenta, dinos como lo conseguiste.

BocaDePez
BocaDePez

tu si que estas plataformado....vomitivo

BocaDePez
BocaDePez

Si quieres denunciar a alguien empieza por el fabricante del router, que es quien ha provocado el fallo. Anda que no se os ve el plumero a algunos...

🗨️ 2
BocaDePez
BocaDePez

coño los accionistas de telefonica, o sois esbirros a sueldo que os pagan por mamporrear a favor de esta mierda de empresa?

🗨️ 1
BocaDePez
BocaDePez

Me has pillado, menudos sueldos me gano escribiendo en los foros. Y me ponen una conexión gratis de otro operador, para que no se note demasiado. Si te interesa deja tu correo y se lo paso a mi jefe de departamento.

BocaDePez
BocaDePez

Bien, ya tengo coartada por si alguna vez mi mujer me ve las paginas porno en el historial.

🗨️ 2
BocaDePez
BocaDePez

Las mujeres casadas son como el perro del hortelano, que ni comen ni dejan comer.

🗨️ 1
BocaDePez
BocaDePez

Las mujeres casadas son como el perro del hortelano...

Y las solteras... ni te cuento, siempre obsesionadas con el gusano de Telefónica ;)

BocaDePez
BocaDePez

Vaya tontería más absurda. Yo tengo el router configurado para que sea el sistema operativo quien administre las DNS, y las cambio a mi gusto en /etc/resolv.conf. No voy a ser tan gilipollas como para dejar que sea en el router donde se administren las DNS, pues las cabras tiran al monte en menos de lo que canta un gallo.

🗨️ 1
car32x

Claro, con deshabilitar el Dhcp supongo que basta, asi eres tu quien eliges tu propia dirección IP interna y los DNS (que por cierto no tienen porque ser lo que tu ISP te asigna por defecto). Lo que quiero decir es que puedes utilizar los DNS de ONO aunque tengas Telefónica y al contrario. Hace un tiempo hice un tutorial (me quede corto) del como proteger una red WIFI basada en el protocolo altamente inseguro WEB (lo escribí cuando aun el WPA y menos aun el WPA2 estaban poco implementados en la redes caseras), en fin os dejo el enlace que aunque antiguo todavia merece la pena de leer visto lo visto, saludos.

hackdosx.blogspot.com/2008/12/asegurar-u…-en-wep.html

BocaDePez
BocaDePez

¿Cómo se puede montar el servidor DNS para explotar esto? Me parece un verdadero lío montar un bind.

Por lo demás, proxy con sslstrip y tcpdump y a capturar claves como loco.

La parte de buscar routers, sacarles la clave y configurarles las DNS se puede automatizar fácilmente con nmap y perl.

Un saludo y gracias.

BocaDePez
BocaDePez

Para el que lo quiera saber, a esto se le llama "man in the middle".

Simplificando y en castellano, serias el hombre invisible en medio de una conversacion confidencial.

Podras robar datos, manipularlos, copiarlos, venderlos, utilizarlos en tu provecho... el limite la imaginacion.

Andin53A

Parece mentira que una empresa como telefónica tenga esos errores. Mi proveedor, Arrakis, me proporciona un router que no me agrada mucho, por tener un interfaz web de configuración bastante limitado, pero por lo menos tiene desactivado de fábrica el acceso desde la WAN. Si el proveedor necesita acceso, te tiene que llamar para que los actives, y encima cuando apagas el router, vuelve a su estado inicial.

🗨️ 2
BocaDePez
BocaDePez

Los de Telefonica tambien chavalin. Esta noticia esta MANIPULADA ya que es una verdad a medias y una mentira: la verdad a medias es que afecte a los routers de Telefonica, afecta a unos determinados modelos de router y no son NINGUNO de los que se han instalado en España, que en su configuracion por defecto (además) vienen con la administración por WAN cerrada.

Y la mentira es que alguien de Telefónica lo haya confirmado, a menos que lo haya confirmado uno que no save de que va el tema mas que de oidas.

Se nota quien paga la publicidad de este garito. Que poca vergüenza.

🗨️ 1
sunayosi

envenenamiento de DNS te suena,pues si a mi me ha pasado,por lo que de "indicios" yo te lo confirmo,me ha pasado teniendo un zyxel de esos que le gusta a telefonica

sunayosi

Vamos, esto es lo que se denomina envenenamiento de DNS o como se dice en inglés poisoning attack y si amigos, sucede porque estas 3 ultimas semanas lo he sufrido en mis carnes,siendo de telefónica y teniendo un router Zyxel P660-HW-D1,menudo trabajo me dió quitarme el puto hacker de encima,se ha paseado por mi facebook y lo intentó con el hotmail,por no decir que intentó una y otra vez colarme troyanos de una colecion que ni quiero recordar,intentando meterme un archivo temporal infectado en la carpeta Temp de windows día tras día,gracias al cortafuegos y a varios antivirus se lo puse dificil,no sin antes cambiando todas las contraseñas del router acceso de puestos,telnet, ftp, etc etc,y aun asi lo seguía intentando,hasta que se aburrió viendo que no lo tenía facil,me ha dejado tranquilo,esto es lo que pasa cuando te envenenan las DNS y redirigen el trafico a su gusto,por no decir que telefonica no hace su puto trabajo de cambiar sus DNS por unas seguras,cosa que ya he hecho yo antes de que lo hagan ellos,mecago en los muertos de telefonica