¿por qué los 2wire son una mierda?

Después del post del correo falso de youtube con cadenas exóticas y posteandolo en la cofradía donde por error se ejecutaba el código en lugar de ser mostrado, un cofrade comenta la vulnerabilidad:

del CERT:

Vulnerabilidad de autenticación en ruteadores 2Wire

Antecedentes

En los últimos días, el DSC/UNAM-CERT ha detectado la aparición de ataques web tipo pharming, enfocados a engañar a los usuarios víctimas para redirigirlos a sitios falsos de banca electrónica.

Las técnicas utilizadas en los ataques son Cross-site request forgery (XSRF) y Drive-by-pharming.

Cross-site request forgery (XSRF). Se trata de una técnica intrusiva también conocida como “one click attack” o “session riding”. El ataque se basa en la inclusión de un script malicioso en alguna página web o correo; la víctima, con el simple hecho de navegar por la página con el código insertado estaría realizando sin su conocimiento, actividades escondidas previamente establecidas por el atacante (por ejemplo, modificar una configuración de un router a través de la interfase web) .

Drive-by-pharming. Esta técnica consiste en la modificación de los registros para resolución de nombres (DNS) y busca redirigir las peticiones de conexión de un usuario hacia un sistema comprometido por un atacante. Una modalidad consiste en modificar el archivo “hosts” de los equipos de las víctimas, pero una variante más difícil de detectar consiste en alterar los registros de resolución de nombres de los ruteadores caseros de banda ancha (DSL). Este ataque realizado usualmente con tecnologías como javascript y flash intenta identificar la marca y dirección del ruteador casero para poder comprometerlo exitosamente.

En México recientemente se han comenzado a detectar vectores de infección que utilizan las dos técnicas, es decir, se inserta código FLASH en páginas web que al ser navegadas por la víctima insertan registros de DNS en el ruteador casero para redirigir al usuario hacia un sitio falso de banca electrónica.

Si bien los ataques de “drive by pharming” fueron documentados desde Diciembre de 2006, es hasta ahora que se han visto activamente explotados en México por los defraudadores.

Las vulnerabilidades en los equipos 2Wire fueron publicadas en Agosto de 2007, sin embargo a la fecha no existe una actualización de firmware que mitigue el problema.

Aunque las alertas de seguridad establecen como requisito una sesión activa de administrador o la configuración por default de equipos ruteadores de diversas marcas, hemos detectado que ciertos modelos de la marca 2Wire son vulnerables y no requieren una configuración por default, ya que la contraseña de administrador puede ser sobrescrita por medio de XSRF.


Para leer la noticia completa Aqui Seguridad UNAM

Comentarios