LUK
09-02-2012, 16:41
Desde hace unos días se había estado extendiendo un rumor por las redes sociales y algunos foros Underground de una grave vulnerabilidad en los routers ADSL de Telefónica que estaba siendo explotada masivamente.
Esta vulnerabilidad, definitivamente se ha confirmado estos rumores y se han encontrado serias evidencias de este problema.
La vulnerabilidad se puede explotar remotamente si el usuario de dicho router tiene activada la administración vía web del mismo abierta a Internet. Los atacantes pueden acceder al usuario y contraseña sin ninguna dificultad y reconfigurar el dispositivo con intenciones maliciosas. Estas intenciones pueden ser Denegaciones de Servicio, Mapeo de puertos a red interna para intentar el acceso a sistemas internos y demás. Lo que se sabe hasta el momento es que el fallo se esta explotando para cambiar los DNS del dispositivo, y por tanto, el de todos los ordenadores de la red interna que funcionen con DNS dinámico y/o que usen el propio router como servidor de DNS (DNS forwarding), al cambiar los DNS los atacantes pueden "controlar" en gran medida a donde se conectan los afectados pudiendo así realizar numerosos ataques (SSLStrip, Phising y casi todo lo que te de la imaginación….).
El modelo de router afectado son los Comtrend de Telefónica, por la información que se tiene parece que el firmware de los modelos de Jazztel NO son vulnerables (gracias Murdok) aunque aún no se ha probado en todos sus modelos.
Las recomendaciones a los usuarios es que primero comprueben los DNS que tienen configurados:
En la url http://ip.de.tu.router/dnscfg.html (http://ip.de.tu.router/dnscfg.html) los servidores configurados generalmente por Telefónica son: 80.58.61.250 y 80.58.61.254, tener unos servidores DNS diferentes no significa obligatoriamente que hayan entrado en el router pero por si acaso en recomendable cambiarlos a los antes puestos o a los servidores DNS públicos de Google (8.8.8.8 como servidor primario y 8.8.4.4 como secundario).
http://1.bp.blogspot.com/-ciiZ_v42uKs/TzPhbTTz3pI/AAAAAAAAALM/zApdGhBr27g/s400/i1.png (http://1.bp.blogspot.com/-ciiZ_v42uKs/TzPhbTTz3pI/AAAAAAAAALM/zApdGhBr27g/s1600/i1.png)
Además es MUY IMPORTANTE es que si crees que puedes ser vulnerable se deshabite la administración remota desde Internet del dispositivo, en la URL http://ip.de.tu.router/scsrvcntr.cmd?action=view (http://ip.de.tu.router/scsrvcntr.cmd?action=view) deberíamos deshabilitar todas los servicios en la columna WAN.
http://2.bp.blogspot.com/-y-aChpvUgkI/TzPhshEr2QI/AAAAAAAAALU/Uc9ZJzO4XYM/s400/i2.png (http://2.bp.blogspot.com/-y-aChpvUgkI/TzPhshEr2QI/AAAAAAAAALU/Uc9ZJzO4XYM/s1600/i2.png)
Por último en http://ip.interna.de.tu.router/password.cgi (http://ip.interna.de.tu.router/password.cgi) cambiamos la contraseña para todos los usuarios.
http://2.bp.blogspot.com/-HtuMvVm_-8U/TzPh9bzFN6I/AAAAAAAAALc/NUjIDuhfJZM/s400/i3.png (http://2.bp.blogspot.com/-HtuMvVm_-8U/TzPh9bzFN6I/AAAAAAAAALc/NUjIDuhfJZM/s1600/i3.png)
Siguiendo estos consejos la facilidad de explotar esta vulnerabilidad queda muy atenuada, pero advertimos que en S21Sec hemos encontrado más formas de explotar las vulnerabilidades que las que han hecho públicas en diferentes fuentes. En el momento en el que se publique un parche por parte de Comtrend o Telefónica, seguramente un cambio del firmware, informaremos.
Leonardo Nve
Dep. Auditoría S21SEC
http://blog.s21sec.com/2012/02/grave-vulnerabilidad-en-routers-adsl-de.html
Esta vulnerabilidad, definitivamente se ha confirmado estos rumores y se han encontrado serias evidencias de este problema.
La vulnerabilidad se puede explotar remotamente si el usuario de dicho router tiene activada la administración vía web del mismo abierta a Internet. Los atacantes pueden acceder al usuario y contraseña sin ninguna dificultad y reconfigurar el dispositivo con intenciones maliciosas. Estas intenciones pueden ser Denegaciones de Servicio, Mapeo de puertos a red interna para intentar el acceso a sistemas internos y demás. Lo que se sabe hasta el momento es que el fallo se esta explotando para cambiar los DNS del dispositivo, y por tanto, el de todos los ordenadores de la red interna que funcionen con DNS dinámico y/o que usen el propio router como servidor de DNS (DNS forwarding), al cambiar los DNS los atacantes pueden "controlar" en gran medida a donde se conectan los afectados pudiendo así realizar numerosos ataques (SSLStrip, Phising y casi todo lo que te de la imaginación….).
El modelo de router afectado son los Comtrend de Telefónica, por la información que se tiene parece que el firmware de los modelos de Jazztel NO son vulnerables (gracias Murdok) aunque aún no se ha probado en todos sus modelos.
Las recomendaciones a los usuarios es que primero comprueben los DNS que tienen configurados:
En la url http://ip.de.tu.router/dnscfg.html (http://ip.de.tu.router/dnscfg.html) los servidores configurados generalmente por Telefónica son: 80.58.61.250 y 80.58.61.254, tener unos servidores DNS diferentes no significa obligatoriamente que hayan entrado en el router pero por si acaso en recomendable cambiarlos a los antes puestos o a los servidores DNS públicos de Google (8.8.8.8 como servidor primario y 8.8.4.4 como secundario).
http://1.bp.blogspot.com/-ciiZ_v42uKs/TzPhbTTz3pI/AAAAAAAAALM/zApdGhBr27g/s400/i1.png (http://1.bp.blogspot.com/-ciiZ_v42uKs/TzPhbTTz3pI/AAAAAAAAALM/zApdGhBr27g/s1600/i1.png)
Además es MUY IMPORTANTE es que si crees que puedes ser vulnerable se deshabite la administración remota desde Internet del dispositivo, en la URL http://ip.de.tu.router/scsrvcntr.cmd?action=view (http://ip.de.tu.router/scsrvcntr.cmd?action=view) deberíamos deshabilitar todas los servicios en la columna WAN.
http://2.bp.blogspot.com/-y-aChpvUgkI/TzPhshEr2QI/AAAAAAAAALU/Uc9ZJzO4XYM/s400/i2.png (http://2.bp.blogspot.com/-y-aChpvUgkI/TzPhshEr2QI/AAAAAAAAALU/Uc9ZJzO4XYM/s1600/i2.png)
Por último en http://ip.interna.de.tu.router/password.cgi (http://ip.interna.de.tu.router/password.cgi) cambiamos la contraseña para todos los usuarios.
http://2.bp.blogspot.com/-HtuMvVm_-8U/TzPh9bzFN6I/AAAAAAAAALc/NUjIDuhfJZM/s400/i3.png (http://2.bp.blogspot.com/-HtuMvVm_-8U/TzPh9bzFN6I/AAAAAAAAALc/NUjIDuhfJZM/s1600/i3.png)
Siguiendo estos consejos la facilidad de explotar esta vulnerabilidad queda muy atenuada, pero advertimos que en S21Sec hemos encontrado más formas de explotar las vulnerabilidades que las que han hecho públicas en diferentes fuentes. En el momento en el que se publique un parche por parte de Comtrend o Telefónica, seguramente un cambio del firmware, informaremos.
Leonardo Nve
Dep. Auditoría S21SEC
http://blog.s21sec.com/2012/02/grave-vulnerabilidad-en-routers-adsl-de.html