PDA

Ver la versión completa : Explotación de la vulnerabilidad ADSL



banuelos
25-03-2002, 11:52
Hola:

En http://www.hispasec.com/ se nos advierte del peligro:
Explotación de la vulnerabilidad ADSL

Hace casi dos meses HispaSec se hizo eco de la difusión de una vulnerabilidad que afectaba a cierta serie de routers ADSL instalados por Telefónica. Hoy podemos decir que dicha vulnerabilidad se está explotando de forma activa.

La vulnerabilidad, de la que HispaSec se hizo eco el pasado 22 de Enero, afecta a los routers Efficient SpeedStream 5660, con revisión del sistema operativo "2.2.1(9R1)". En dicha revisión se cometió un error que provoca que los filtros IP no funcionen. Es decir, que aunque instalemos filtros IP, éstos no actuarán.

Los filtros IP se utilizan, por ejemplo, para limitar el acceso administrativo del router a ciertas IPs. Si los filtros no funcionan, cualquier usuario de Internet que conozca la clave puede acceder a ellos y realizar cualquier cambio que desee.

Como las claves de los ADSL de Telefónica son todas iguales y, en la práctica, la clave en cuestión es de dominio público, el efecto neto es que cualquier usuario de Internet puede conectarse a esos router y manipularlos de forma arbitraria.

Aunque el cambio más sencillo es inutilizar el router, por ejemplo desconfigurándolo, puede modificarse la tabla NAT de los equipos para acceder a la red interna desde el exterior, dejando la red interna desprotegida a todos los efectos. Un uso más creativo de las funcionalidades NAT permite utilizar los routers a modo de "bouncers".

Es decir, en vez de mapear un puerto del router hacia la red interna, se puede mapear de nuevo hacia Internet. Ello permite conectarse a otra máquina sin que ésta conozca la procedencia real de la conexión, ya que la IP que recibe es la del ADSL utilizado como "bouncer".

Así, se puede ocultar el origen de una conexión y lograr un buen nivel de anonimato e impunidad. De hecho, en las últimas semanas se han detectado en IRC-Hispano (la red de IRC en castellano más importante del mundo) más de 5000 IPs de ADSLs "comprometidas" (al menos el equivalente a 20 redes /24), configuradas para enviar las conexiones hacia diversos nodos de esta red.

El efecto neto es que un atacante puede, fácilmente, barrer canales y servidores enteros, por el peso de inyectar 5000 conexiones simultaneas bajo su control. Los detalles sobre los routers ADSL vulnerables y cómo solucionar el problema se detallan en nuestro boletín previo sobre el particular.

Más Información:
Lleida.net denuncia el ataque masivo al IRC hispano desde conexiones ADSLhttp://bandaancha.st/weblogart.php?artid=954 22/01/2002 - Vulnerabilidad en routers Efficient SpeedStream 5660 (ADSL de Telefónica)http://www.hispasec.com/unaaldia.asp?id=1185 IRC-Hispanohttp://www.irc-hispano.org/

Saludos
:cool: