Como prevenir y/o restablecer un hacking a routers 2wire de Infinitum


Apartir del 15 de agosto de 2007 se comenzaron a encontrar vulnerabilidades sobre los módems/routers marca 2wire por descubrimiento de hkm@hakim.ws y Eduardo Espina G. Este tipo de dispositivos son normalmente distribuidos en México por Telmex para brindar el servicio de Internet de banda ancha ADSL. Dichas vulnerabilidades fueron de alto impacto debido a que lograban obtener privilegios administrativos y así se podía tomar control total del sistema afectado. Desde entonces fue posible vislumbrar la trascendencia que estos dispositivos están teniendo en el mercado y que el impacto de una vulnerabilidad ponía en riesgo a miles de usuarios, por lo menos en México, donde son muy utilizados. Así, en noviembre 8 de 2008 se publicó una nueva vulnerabilidad, la cual compromete la disponibilidad al provocar una negación del servicio de Internet que proporcionan estos equipos.



¿Qué equipos son suceptibles al ataque?

Cualquiera de los siguientes modelos de módems / routeadores de Prodigy Infinitum:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
2Wire 2701HG-T 5.29.135.5

Las técnicas utilizadas en los ataques son Cross-site request forgery (XSRF) y Drive-by-pharming.

Cross-site request forgery (XSRF). Se trata de una técnica intrusiva también conocida como “one click attack” o “session riding”. El ataque se basa en la inclusión de un script malicioso en alguna página web o correo; la víctima, con el simple hecho de navegar por la página con el código insertado estaría realizando sin su conocimiento, actividades escondidas previamente establecidas por el atacante (por ejemplo, modificar una configuración de un router a través de la interfase web) .

Drive-by-pharming. Esta técnica consiste en la modificación de los registros para resolución de nombres (DNS) y busca redirigir las peticiones de conexión de un usuario hacia un sistema comprometido por un atacante. Una modalidad consiste en modificar el archivo “hosts” de los equipos de las víctimas, pero una variante más difícil de detectar consiste en alterar los registros de resolución de nombres de los ruteadores caseros de banda ancha (DSL). Este ataque realizado usualmente con tecnologías como javascript y flash intenta identificar la marca y dirección del ruteador casero para poder comprometerlo exitosamente.

En México recientemente se han comenzado a detectar vectores de infección que utilizan las dos técnicas, es decir, se inserta código FLASH en páginas web que al ser navegadas por la víctima insertan registros de DNS en el ruteador casero para redirigir al usuario hacia un sitio falso de banca electrónica.

Si bien los ataques de “drive by pharming” fueron documentados desde Diciembre de 2006, es hasta ahora que se han visto activamente explotados en México por los defraudadores.

Las vulnerabilidades en los equipos 2Wire fueron publicadas en Agosto de 2007, sin embargo a la fecha no existe una actualización de firmware que mitigue el problema.

Aunque las alertas de seguridad establecen como requisito una sesión activa de administrador o la configuración por default de equipos ruteadores de diversas marcas, hemos detectado que ciertos modelos de la marca 2Wire son vulnerables y no requieren una configuración por default, ya que la contraseña de administrador puede ser sobrescrita por medio de XSRF.

Desde el laboratorio de seguridad en la UNAM puedes ver el Análisis del ataque a detalle.


SOLUCIONES

La recomendación a los usuarios es que eviten visualizar mensajes de spam y, sobre todo, no dar clic en ninguno de sus enlaces. También deben interesarse por la seguridad de sus routers ADSL, exigiendo a las operadoras o instaladores que los dispositivos instalados estén libres de vulnerabilidades conocidas y que permitan establecer una password de autenticación personalizada (no dejar la que traen por defecto).

Instalar una solución de seguridad efectiva (no todos los antivirus son iguales) y mantener sus sistemas y navegadores puntualmente actualizados.

También es importante estar al día de los fraudes online más comunes (saber que es un phishing, comprobar el http:// antes de introducir nuestras credenciales de acceso, no abrir ejecutables de fuentes no confiables, etc). En definitiva, sentido común y responsabilidad a la hora de utilizar nuestro sistema, navegar por Internet, y emplear servicios sensibles como la banca electrónica.

La realidad es que no existe una solución definitiva al día de hoy. Una actualización de firmware resolvería la vulnerabilidad. El proveedor ha sido notificado del problema, sin mucho resultado.

Para identificar si el ruteador ha sido comprometido, desde el navegador se puede verificar en la tabla de resolución de nombres del 2Wire, para entrar a ella debes entrar a la Consola de administración y diagnóstico, para ello debes escribir en la barra de direcciones de tu navegador web lo siguiente:

http://home/mdc

lo que te llevará a:

Consola de administración y diagnóstico

En el menu de la izquiera localiza Avanzadas > Resolución de DNS y da click te aparecerá:



Si tu equipo se encuentra comprometido observarás una tabla de nombres DNS y direcciones asociadas. Lo cual indica que ha sido hackeado.

Si el navegador muestra una pantalla con un listado de direcciones IP asociadas a dominios diversos (especialmente de banca electrónica) el ruteador muy probablemente ha sido comprometido.

Como solución:

  • puedes borrar las direcciones una por una
  • o podrías ir a Resolución de problemas > Restablecimientos > Restablecer Valores de Fábrica, el único inconveniente es que si ya has configurado el ruteador, deberás volver a hacerlo.
Otro modo es:

En tu navegador, ve a la siguiente dirección. Esta direccion es la que por default traen los modems que entrega Telmex.

http://home/xslt?PAGE=J38

Nota: en ese URL, la palabra “home” redirecciona automaticamente a la dirección IP de tu modem/ruteador 2Wire. Es por eso que aunque le hayas cambiado al ruteador la dirección IP que venía por default, si no habias asignado un password, el ataque era efectivo en el ruteador sin importar la IP que tuviera. Ahora, a seguir con el proceso…

Con eso, estarás entrando a la página “Advanced - DNS Table”.

En la sección de abajo (Name Table), si ves líneas o direcciones que mencionen Banamex.com, haz click en el botón de “Remove” para cada una.

Muy probablemente necesites renovar tu dirección de IP (ipconfig /renew) .

Para verificar que ya no estas siendo redireccionado a una pagina falsa, puedes seguir los siguientes pasos:
  1. Hacer click en el botón de Inicio (Start).
  2. Seleccionar la opción de Ejecutar (Run).
  3. Teclea “cmd” y presiona Enter, para entrar a una ventana de Command.
  4. Teclea “nslookup banamex.com”.
  5. Verifica la dirección IP que te aparece en la última línea. Debe tener un valor de 192.193.230.100
  6. Teclea “nslookup bancomer.com”.
  7. Verifica la dirección IP que te aparece en la última línea. Debe tener un valor de 148.244.43.5
Si es así, ya estás libre del redireccionamiento. Aun sigues vulnerable, porque el problema esta en el ruteador, pero mientras menos abras correos electrónicos de gente que no conozcas, estarás mas seguro.

Problemas Relacionados con el router 2wire de Telmex

Vulnerabilidad de Negación de Servicio en rutedores 2Wire

Vulnerabilidad de autenticación en ruteadores 2Wire

Artículos Relacionados
Hackean ruteadores 2Wire de Telmex

Atacan ruteadores 2Wire en México, otra vez...

Fuente:
seguridad.unam.mx

tenoch.scimexico.com

rathie.wordpress.com

Comentarios

Anónimo dijo…
muy buena informacion amigo y gracias ...
junio 16, 2009
Anónimo dijo…
y por que no? nosotros somos los ke construimos el futuro,el internet, es parte de nosostros, son todos los malditos loosers que lo usan para hacerce ricos ,los , que nos prohiben
usar lo ke emos creados vayanse al diablo seguire usando el internet gratuito
agosto 09, 2009
Publicar un comentario

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Imagen
Iniciamos esta nueva categoria: Coincidencias Desafortunadas, con el post de Filemón Alonso Miranda aka @urbanitas acerca de Goidsargi Estívalis Carranza, el Ángel de Hielo . La coincidencia desafortunada fué el AdSense de Google publicitando reparación de refrigeradores, siendo que la nota hablaba de que la asesina habia mantenido por varios días los cuerpos mutilados de su ex esposo y novio. #Toing
Leer más

Oldies Web

Imagen
Muchos de ustedes tendrán años navegando en Internet; pues bien para aquellos con melancolías por las primeras webs que alguna vez visitaron, es que les paso el siguiente tip: Vía el web Internet Archive Wayback Machine es posible visualizar versiones viejas de páginas web con teclear la dirección URL y seleccionar la fecha de interés. Ello puedes hacerlo siempre y cuando, en la cache del servidor host del sitio web de interés, se siga guardando la información de la versión añeja del web. Anexo una captura de pantalla de ejemplo donde observamos cómo se veía Google! Beta en Diciembre 2 de 1998.
Leer más