Falla de seguridad en routers con Firmware de Movistar (en este caso ZTE ZXDSL 831ii y Comtrend CT-5367) – Cambio de DNS


Como ya saben desde meses atrás se tiene conocimiento que varios routers que instala Movistar presentan una falla de seguridad que permite a cualquiera acceder remotamente a los datos del usuario y contraseña (leer el post de redeszone), y esto viene siendo aprovechado por inescrupulosos para modificar los DNS haciendo que apunten a sus servidores e intentan forzar la instalación de diversos software maliciosos en las PCs de la red vulnerada. 

Siendo 14/11/2012, en los 4 últimos días encontré 2 redes de diferentes ciudades del Perú, con routers ADSL de diferentes marcas (Comtrend y ZTE) en los cuales los DNS habían sido modificados, ocasionando que, al intentar navegar desde las PCs de dichas redes, carguen páginas clonadas (ejemplo Gogole, Facebook, Youtube, Hotmail. etc) que descargan e intentan instalar automáticamente un software para que la página cargue normalmente.

Normalmente un antivirus actualizado impedirá la ejecución del archivo. En otros casos si se tiene algún tipo de seguridad para navegación web, la página clonada será bloqueada. Inicialmente algunos pensarán que tienen virus, buscarán y probablemente no encuentren nada, incluso alguno terminara formateando sus PCs pensando que con ello se solucionará el problema. Luego se dará cuenta que todo sigue igual, pues el origen del problema no está allí.

 

En la imagen un ejemplo del mensaje de alerta que arrojó McAfee Site Advisor al intentar acceder a una página

image

 

En la imagen se observa que al intentar acceder a Facebook, se muestra un mensaje en portugués indicando que se descargara e instalará un software, que supuestamente es una versión de Adobe Flash Player

image

 

En la vista se aprecia que los DNS que figuran en el router (Logré ingresar con un usuario sin permisos administrativos) , no corresponden a los de Movistar (en el caso de Perú son: 200.48.225.130 y  200.48.225.146) . Se observa que el DNS primario apunta a la IP 200.98.69.78

image

 

Efectuando un Tracert a dicha se observa que proviene de Brasil:

image

image

image

 

SOLUCIÓN:

Dado que en Movistar Perú normalmente no provee actualizaciones de firmware para los routers que instala; a los usuarios solo les queda protegerse como puedan. Así que debemos deshabilitar el acceso remoto al router

Lo primero que debemos hacer es modificar los DNS en el router, sea haciéndolo Uds mismos (para lo cual deben contar con el usuario y password de su router), solicitando a Movistar haga el cambio, o simplemente reseteando a fábrica el router (normalmente luego del reset a fábrica, la conexión a internet se mantiene sin problemas, pero si corrige los DNS).

En ambos casos que encontré, la solución fue resetear los router. Como ven en la imagen se corrigieron los DNS (y de paso ya logré acceder a la configuración del mismo con el usuario administrador y password por defecto se ambas marcas).

image

 

Hecho esto ingresen a la configuración del router y deshabiliten el acceso remoto, luego graben y reinicien dicho equipo:

En el caso del ZTE ZXDSL 831ii desmarcar todo en Remote Access:

image

 

En el caso del Comtrend CT-5367 desmarcar todo el lado WAN

image

 

Con esto se solucionó el problema en ambos casos:

image

 

CONSEJOS:

  • Revisen regularmente que los DNS de su router se hallen con los que corresponden.
  • Siempre instalar las actualizaciones y revisiones de seguridad de su sistema operativo y software instalado.
  • Mantener al día las firmas de virus en su antivirus.
[tweetmeme source=”itleadersperu” only_single=”false”]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: