Configurar Modem 2 Wire en Modo Puente
1 of 11
Artículos
file:///home/notfound/.mozilla/firefox/tj5yqid7.default/ScrapBook/data/200...
Tutoriales
FAQs
Manuales
Mejores P
Vulnerabilidad de autenticación en ruteadores 2Wire
Vulnerabilidad de autenticación en
ruteadores 2Wire
Menú
Antecedentes
Antecedentes
En los últimos días, el DSC/UNAM-CERT ha detectado la aparición de
ataques web tipopharming, enfocados a engañar a los usuarios víctimas
para redirigirlos a sitios falsos de banca electrónica.
Las técnicas utilizadas en los ataques son Cross-site request forgery
(XSRF) y Drive-by-pharming.
Cross-site request forgery (XSRF). Se trata de una técnica intrusiva
también conocida como “one click attack” o “session riding”. El ataque se
basa en la inclusión de un script malicioso enalguna página web o correo;
la víctima, con el simple hecho de navegar por la página con el código
insertado estaría realizando sin su conocimiento, actividades escondidas
previamente establecidas por el atacante (por ejemplo, modificar una
configuración de un router a través de la interfase web) .
Análisis de ataque
Vectores de infección
Prueba de concepto
Solución
Referencias
10/15/2012 12:15PM
Departamento de Seguridad en Cómputo
2 of 11
file:///home/notfound/.mozilla/firefox/tj5yqid7.default/ScrapBook/data/200...
Drive-by-pharming. Esta técnica consiste en la modificación de los
registros para resolución de nombres (DNS) y busca redirigir las peticiones
Revisión histórica
de conexión de un usuario hacia un sistema comprometido por un
atacante. Una modalidad consiste en modificarel archivo “hosts” de los
equipos de las víctimas, pero una variante más difícil de detectar consiste
en alterar los registros de resolución de nombres de los ruteadores caseros de banda ancha (DSL). Este ataque realiza
usualmente con tecnologías como javascript y flash intenta identificar la marca y dirección del ruteador casero para po
comprometerlo exitosamente.
En México recientemente se hancomenzado a detectar vectores de infección que utilizan las dos técnicas, es decir,
inserta código FLASH en páginas web que al ser navegadas por la víctima insertan registros de DNS en el ruteador cas
para redirigir al usuario hacia un sitio falso de banca electrónica.
Si bien los ataques de “drive by pharming” fueron documentados desde Diciembre de 2006, es hasta ahora que se han vi
activamenteexplotados en México por los defraudadores.
Las vulnerabilidades en los equipos 2Wire fueron publicadas en Agosto de 2007, sin embargo a la fecha no existe u
actualización de firmware que mitigue el problema.
Aunque las alertas de seguridad establecen como requisito una sesión activa de administrador o la configuración por defa
de equipos ruteadores de diversas marcas, hemos detectado que ciertosmodelos de la marca 2Wire son vulnerables y
requieren una configuración por default, ya que la contraseña de administrador puede ser sobrescrita por medio de XSRF.
Análisis del ataque
El DSC/UNAM-CERT obtuvo un correo que se presentaba como una carta electrónica de felicitación de un sitio mexica
popular. El router probado fue un 2Wire 2701.
10/15/2012 12:15 PM
Departamento de Seguridad enCómputo
3 of 11
file:///home/notfound/.mozilla/firefox/tj5yqid7.default/ScrapBook/data/200...
10/15/2012 12:15 PM
Departamento de Seguridad en Cómputo
4 of 11
file:///home/notfound/.mozilla/firefox/tj5yqid7.default/ScrapBook/data/200...
Al hacer clic en la liga, el usuario es redireccionado hacia un sitio web donde se abre un código FLASH que lleva a cabo
ataque XSRF.
name="index"
width="399" height="50"
s0rc="index.swf"
bgcolor="#FFFFFF"
quality="high"
allowscriptaccess="samedomain"
>
Del archivo index.swf se obtienen las siguientes cadenas:
http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&...
Regístrate para leer el documento completo.