Wednesday, January 16, 2008

Nueva vulnerabilidad en MODEM 2Wire

Para todos mis queridos mackuiles que les encanta el 2Wire, recientemente (para ser exactos ayer 14 de enero del 2008) se descubrió una nueva vulnerabilidad critica en los MODEM/Ruteadores de la marca 2Wire utilizados en México por la empresa Telmex.

Según varias instituciones han detectado que es posible modificar la configuración del mismo y cambiar los parámetros de los servidores DNS y DHCP sin que el usuario tenga conocimiento de esto, todo esto debido a que el MODEM/Ruteador 2Wire trae un usuario administrador embedido (¿backdoor?) es decir que aunque muchos usuarios se hallan tomado la molestia de cambiar la configuración de su usuario no podrán evitar la intrusión de alguna configuración maliciosa, hasta el momento se ha detectado que esta vulnerabilidad a servido para realizar pishing sobre la Web, es decir que el usuario puede teclear www.hsbc.com.mx en su navegador y aparentemente entrar a la pagina oficial del banco HSBC sin embargo estará siendo redireccionado a una pagina falsa que tiene el objetivo de obtener información del cliente, así mismo en Agosto del 2007 se había detectado que por medio de código insertado en flash en cualquier pagina Web se puede realizar pharming, es decir se inserta código en FLASH en páginas Web que al ser navegadas por la víctima insertan registros de DNS en el ruteador casero para redirigir al usuario hacia un sitio falso de banca electrónica, esto debido a que por medio de ataques XSRF es posible modificar la contraseña ya establecida del 2Wire.

Es importante destacar que todo el proceso es muy transparente para la víctima, ya que no se muestra actividad intrusiva evidente en el navegador y el antivirus no reporta anomalía alguna dado que no se descarga ningún binario. Vectores de infección Animaciones FLASH (tarjetas de felicitación, presentaciones, etc.) Javascript (páginas Web con scripts) HTML plano (blogger, websites estáticos, etc.) Prueba de concepto Los investigadores de la UNAM crearon un blog en el servicio blogger para demostrar esta vulnerabilidad, en esta página se insertó el exploit en HTML plano. La contraseña es sobrescrita en el 2Wire a “admin”. http://2wire-poc.blogspot.com
Al ser casi imposible de detectar (a menos que regularmente se verifiquen los estados de los servidores DHCP y DNS del 2wire, o se realice ruteo estático en las PC) es un peligro entrar a servicios de banca electrónica si tu MODEM es 2Wire.


Mi recomendación:
- Cambiar de MODEM


Algunos enlaces
http://www.gamers.com.mx/noticias/31772_Modems_2Wire_vulnerables.html
http://tecnologiainternet.diarionoticias.es/noticia/357108/vulnerabilidades-tipo-pharming-ruteadores-2wire
http://osinfra.blogspot.com/2008/01/problema-muy-grave-con-el-2wire.html
http://tecnologiainternet.diarionoticias.es/noticia/357108/vulnerabilidades-tipo-pharming-ruteadores-2wire

Posteado por a las
Labels: , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)