Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

300.000 routers con sus DNS modificadas tras visitar una web maliciosa

Josh

La compañía Team Cymru ha identificado 300.000 direcciones IP afectadas por un ataque que aprovechando una vulnerabilidad conocida en routers D-Link, Micronet, Tenda y TP-Link, que modifica los servidores DNS configurados sustituyéndolos por otros que podrían estar en poder de los atacantes.

El cambio de DNS se produce al visitar una página web cuyo javascript, ejecutado en el navegador del usuario dentro de la red local, llama a una URL vulnerable del router con las DNS 5.45.75.11 y 5.45.75.36. Estas IP son propiedad de una compañía de hosting ubicada en Londres, 3NT Solutions, y hasta el momento se comportan como cualquier DNS. El peligro es que en algún momento empiecen a responden a las peticiones de resolución de dominio procedentes de los routers afectados con IPs falsas, por ejemplo al visitar un banco online o al mostrar un anuncio publicitario.

arstechnica.com/security/2014/03/hackers…ous-changes/

BocaDePez
BocaDePez

Un poco fail, dedicarse a modificar 300000 routers para que luego esa empresa de hosting al verse el percal cancele los contratos de esos servidores. Lo suyo, para eso, es irse a un servidor de Irán. :P

🗨️ 4
campi

Tal vez solo sea una prueba de concepto :)

🗨️ 3
BocaDePez
BocaDePez

Pero a ver... Es que he pensado que con "nmap -sV -sC" te haces una lista de routers vulnerables, y luego con cualquier script en Python o Perl les configuras las DNS. No hay margen de error.

Es una pérdida de tiempo no hacerlo para cuando lo quieras hacer de verdad, y no como prueba de concepto. Para cuando lo quieran hacer de verdad, igual han arreglado el firmware.

🗨️ 2
campi

Ni idea.. no estaba en la mente de los atacantes... Tal vez solo fuera un bug detectado por un grupo al que no le interesase sacar beneficio de ello y tan solo era un aviso :D

BocaDePez
BocaDePez

No creo. Estás presuponiendo que esos routers son accesibles desde la red WAN para poder ser identificados, cuando lo típico es que no lo sean.

El ataque es inyectado desde la LAN de cada uno, via JavaScript, aprovechando que la gente normalmente no cambia las contraseñas del router.

BocaDePez
BocaDePez

Es lo ocurrido, por ejemplo, ayer con TeleCable?

Spyd

Estaría bien saber qué modelos son los que están afectados para los que tengamos routers de alguna de estas marcas podamos comprobar si hay actualizaciones de firmware...

🗨️ 3
BocaDePez
BocaDePez

No sé de qué marca es tu router, pero lee el enlace que viene al final de la noticia.

BocaDePez
BocaDePez

En mi opinión mejor ponerle DD-WRT u OpenWRT si el router es compatible, con un firmware así te despreocupas de que tu router salga en las noticias de exploits (entre otras ventajas).

🗨️ 1
BocaDePez
BocaDePez
1

Pero con la desventaja de la notable pérdida de rendimiento respecto al firmware oficial.

BocaDePez
BocaDePez

¿Como saber si mi router está comprometido?

🗨️ 5
pegial
1

Si lleva un anillo, casi seguro que si que está... :D

🗨️ 1
heffeque

Well played, sir.

BocaDePez
BocaDePez

Si la pareja de router te parte la cara o te denuncia por adulterio,blanco y en botella macho

🗨️ 2
BocaDePez
BocaDePez

¿Denuncia por adulterio? ¿Nueva ley del PP?

🗨️ 1
BocaDePez
BocaDePez

noooo

eso ya existe y multan a los bares por dar garrafon es decir por adulteriar las bebidas