ConexiónsSeguridade

Indicios de un gusano que escanea routers ADSL de Telefónica para secuestrar los DNS

90

Algunos modelos de routers domésticos proporcionados por Telefónica a sus clientes ADSL, son el caldo de cultivo para que arañas que escanean secuencialmente rangos de IP’s en busca de dispositivos vulnerables, modifiquen los DNS utilizados por los usuarios con el objetivo de interceptar silenciosamente la navegación. Telefónica confirma que está trabajando en el tema.


La consultora de seguridad S21SEC hace referencia a “un rumor por las redes sociales y algunos foros Underground de una grave vulnerabilidad en los routers ADSL de Telefónica que estaba siendo explotada masivamente”. Aunque nosotros no hemos podido encontrar evidencias contrastables de que esto ya esté ocurriendo en la red de Telefónica, si podemos asegurar que se reúnen los ingredientes suficientes para que un ataque de este tipo se esté produciendo. Y no es nada extraño, porque así ocurre en otros proveedores de internet que utilizan los mismos modelos de router que Telefónica.
El funcionamiento es el siguiente:
1.- En una primera fase se buscan routers que tengan el interfaz de administración web abierto hacia la WAN, de forma que sea posible acceder a él desde Internet. Esto se hace mediante bots que escanean secuencialmente todos los rangos de IP’s asignados a un ISP en busca de dispositivos vulnerables.
2.- A continuación se comprueba si el router responde a un fallo de algunos routers con chipset Broadcom. La vulnerabilidad (por llamarlo de una forma suave, ya que se trata de un grave fallo de diseño del firmware) consiste en que al llamar a la URL ip.del.router.adsl/password.cgi, el HTML devuelto contiene en texto plano las credenciales de acceso root.
3.- El siguiente paso es llamar a la URL /dnscfg.cgi para sustituir la DNS configuradas por nuestra operadora por unos servidores bajo el control del atacante.
4.- A partir de ese momento, la peticiones DNS realizadas desde la red local pueden ser alteradas para dirigir la navegación del usuario hacían las webs que decida el atacante. No solo pueden introducir publicidad, por ejemplo cuando escribimos una URL errónea, sino que fácilmente pueden sustituir URLs legítimas, como la de un banco, por réplicas falsas diseñadas para robar las claves de acceso.
Como puede verse, la piedra angular del ataque está en el fallo garrafal de password.cgi, entregando directamente el usuario y clave en un fragmento de JavaScript. Por el momento la solución es deshabilitar el acceso a la interfaz de administración web desde la WAN.
fuente BandaAncha

También podría gustarte
Conexións

Apple y Google suspenden las escuchas de sus asistentes virtuales, por el momento

Conexións

Apple adquiere el negocio de módems para smartphones de Intel

Phone / Tablet

Google confirma que algunos dispositivos Android incluían una avanzada puerta trasera de serie

Seguridade

Detectada una nueva vulnerabilidad grave que afecta a casi todos los chips de Intel desde 2011

Comentarios