Vulnerabilidad de autenticación en ruteadores 2Wire
En los últimos días, el DSC/UNAM-CERT ha detectado la aparición de ataques web tipo pharming, enfocados a engañar a los usuarios víctimas para redirigirlos a sitios falsos de banca electrónica.
Las técnicas utilizadas en los ataques son Cross-site request forgery (XSRF) y Drive-by-pharming.
Cross-site request forgery (XSRF). Se trata de una técnica intrusiva también conocida como “one click attack” o “session riding”. El ataque se basa en la inclusión de un script malicioso en alguna página web o correo; la víctima, con el simple hecho de navegar por la página con el código insertado estaría realizando sin su conocimiento, actividades escondidas previamente establecidas por el atacante (por ejemplo, modificar una configuración de un router a través de la interfase web) .
Drive-by-pharming. Esta técnica consiste en la modificación de los registros para resolución de nombres (DNS) y busca redirigir las peticiones de conexión de un usuario hacia un sistema comprometido por un atacante. Una modalidad consiste en modificar el archivo “hosts” de los equipos de las víctimas, pero una variante más difícil de detectar consiste en alterar los registros de resolución de nombres de los ruteadores caseros de banda ancha (DSL). Este ataque realizado usualmente con tecnologías como JavaScript y flash intenta identificar la marca y dirección del ruteador casero para poder comprometerlo exitosamente.
En México recientemente se han comenzado a detectar vectores de infección que utilizan las dos técnicas, es decir, se inserta código FLASH en páginas web que al ser navegadas por la víctima insertan registros de DNS en el ruteador casero para redirigir al usuario hacia un sitio falso de banca electrónica.
Si bien los ataques de “drive by pharming” fueron documentados desde Diciembre de 2006, es hasta ahora que se han visto activamente explotados en México por los defraudadores.
Las vulnerabilidades en los equipos 2Wire fueron publicadas en Agosto de 2007, sin embargo a la fecha no existe una actualización de firmware que mitigue el problema.
Aunque las alertas de seguridad establecen como requisito una sesión activa de administrador o la configuración por default de equipos ruteadores de diversas marcas, hemos detectado que ciertos modelos de la marca 2Wire son vulnerables y no requieren una configuración por default, ya que la contraseña de administrador puede ser sobrescrita por medio de XSRF.
Análisis del ataque
El DSC/UNAM-CERT obtuvo un correo que se presentaba como una carta electrónica de felicitación de un sitio mexicano popular. El router probado fue un 2Wire 2701.
saludos
ms, satinfo, 9-11-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.