Distribuyen un exploit que modifica los servidores DNS de los routers

Share this…

Parece que los ciberdelincuentes han encontrado un filón gracias a la poca seguridad de muchos routers domésticos. La utilización de un script está provocando que una gran cantidad de equipos estén sufriendo modificaciones en sus servidores DNS, propiciando que el usuario acceda a las páginas pautadas por los nuevos datos introducidos.

Aunque en un principio se ha vinculado esto a un problema de seguridad que afecta a un listado bastante amplio de routers, la verdad es que al final todo parece ser un “problema” de seguridad que tiene como origen unas credenciales de acceso al menú web del equipo poco seguras. Esto quiere decir que muchos de los equipos afectados poseían como usuario y contraseña admin o 1234. Sin embargo, varios expertos en seguridad se han encargado de elaborar un listado de los routers que se han visto afectados por el momento, entre los que se encuentran Belkin, Zyxel, Linksys o Netgear.

El ataque se realiza cuando un usuario de Google Chrome accede a una página web que posee este script disponible, encargado de comprobar haciendo alarde de fuerza bruta las credenciales de acceso. Este código también es capaz de comprobar el modelo de router para saber cómo debe modificar los servidores DNS de forma correcta y que la configuración prevalezca.

Distribuyen un exploit que modifica los servidores DNS de los routers
Distribuyen un exploit que modifica los servidores DNS de los routers

Aunque se asocia a una deficiente seguridad  de acceso, algunos expertos en seguridad creen que en algunos modelos se estarían aprovechando algunas vulnerabilidades antiguas, como la CVE-2015-118CVE-2008-1244CVE-2013-2645.

Utilización de diccionarios e inyección de comandos

Para acceder al dispositivos los ciberdelincuentes están utilizando un diccionario con las contraseñas más comunes, una parte fundamental a la hora de realizar un ataque de fuerza bruta. Una vez que se dispone de acceso al dispositivo y se ha comprobado el fabricante y el modelo se utiliza algunas de las vulnerabilidades citadas con anterioridad para así ejecutar comandos que permitan la modificación de estos datos. Se tratan de fallos que en el caso de algunos fabricantes ya existen soluciones publicadas. Sin embargo, son muchos los usuarios que añun no han actualizado (ni actualizarán) el firmware de sus equipos.

Para mitigar el efecto de estos ataques se recomienda desactivar el acceso remota de nuestro router.

Fuente:https://www.redeszone.net/