300.000 routers con sus DNS modificadas tras visitar una web maliciosa

Josh 4 marzo 2014 10:50 ◉

⋮

La compañía Team Cymru ha identificado 300.000 direcciones IP afectadas por un ataque que aprovechando una vulnerabilidad conocida en routers D-Link, Micronet, Tenda y TP-Link, que modifica los servidores DNS configurados sustituyéndolos por otros que podrían estar en poder de los atacantes.

El cambio de DNS se produce al visitar una página web cuyo javascript, ejecutado en el navegador del usuario dentro de la red local, llama a una URL vulnerable del router con las DNS 5.45.75.11 y 5.45.75.36. Estas IP son propiedad de una compañía de hosting ubicada en Londres, 3NT Solutions, y hasta el momento se comportan como cualquier DNS. El peligro es que en algún momento empiecen a responden a las peticiones de resolución de dominio procedentes de los routers afectados con IPs falsas, por ejemplo al visitar un banco online o al mostrar un anuncio publicitario.

arstechnica.com/security/2014/03/hackers…ous-changes/

BocaDePez 4 marzo 2014 10:56

⋮

Un poco fail, dedicarse a modificar 300000 routers para que luego esa empresa de hosting al verse el percal cancele los contratos de esos servidores. Lo suyo, para eso, es irse a un servidor de Irán. :P

✖

campi 4 marzo 2014 11:12

⋮

Tal vez solo sea una prueba de concepto :)

✖

BocaDePez 4 marzo 2014 11:21

⋮

Pero a ver... Es que he pensado que con "nmap -sV -sC" te haces una lista de routers vulnerables, y luego con cualquier script en Python o Perl les configuras las DNS. No hay margen de error.

Es una pérdida de tiempo no hacerlo para cuando lo quieras hacer de verdad, y no como prueba de concepto. Para cuando lo quieran hacer de verdad, igual han arreglado el firmware.

✖

campi 4 marzo 2014 11:55

⋮

Ni idea.. no estaba en la mente de los atacantes... Tal vez solo fuera un bug detectado por un grupo al que no le interesase sacar beneficio de ello y tan solo era un aviso :D

BocaDePez 4 marzo 2014 12:53

⋮

No creo. Estás presuponiendo que esos routers son accesibles desde la red WAN para poder ser identificados, cuando lo típico es que no lo sean.

El ataque es inyectado desde la LAN de cada uno, via JavaScript, aprovechando que la gente normalmente no cambia las contraseñas del router.

BocaDePez 4 marzo 2014 11:46

⋮

Es lo ocurrido, por ejemplo, ayer con TeleCable?

Spyd 4 marzo 2014 11:55

⋮

Estaría bien saber qué modelos son los que están afectados para los que tengamos routers de alguna de estas marcas podamos comprobar si hay actualizaciones de firmware...

✖

BocaDePez 4 marzo 2014 12:49

⋮

No sé de qué marca es tu router, pero lee el enlace que viene al final de la noticia.

BocaDePez 4 marzo 2014 12:51

⋮

En mi opinión mejor ponerle DD-WRT u OpenWRT si el router es compatible, con un firmware así te despreocupas de que tu router salga en las noticias de exploits (entre otras ventajas).

✖

BocaDePez 4 marzo 2014 13:54

⋮

Pero con la desventaja de la notable pérdida de rendimiento respecto al firmware oficial.

BocaDePez 4 marzo 2014 15:28

⋮

¿Como saber si mi router está comprometido?

✖

pegial 4 marzo 2014 16:38

⋮

Si lleva un anillo, casi seguro que si que está... :D

✖

heffeque 5 marzo 2014 10:57

⋮

Well played, sir.

BocaDePez 4 marzo 2014 17:54

⋮

Si la pareja de router te parte la cara o te denuncia por adulterio,blanco y en botella macho

✖

BocaDePez 6 marzo 2014 08:39

⋮

¿Denuncia por adulterio? ¿Nueva ley del PP?

✖

BocaDePez 6 marzo 2014 08:48

⋮

noooo

eso ya existe y multan a los bares por dar garrafon es decir por adulteriar las bebidas