Fallo de seguridad en Modems HG530 de TELMEX

Por | 22 agosto, 2016

DNS ChangedHace unos meses escribí en la cuenta de TELMEX sobre un problema de seguridad y la posibilidad de contacto con ellos. Si bien me llamaron solo fue una llamada de soporte y sin interés en solucionar el problema. Me ofrecieron cambiarme el equipo a lo cual he aceptado pero nunca llego. El problema persiste, el modelo HG530 y posterior a estos sufren un ataque el cual permite a un usuario remoto cambiar tus valores de DNS en el router, por ende esto se escala a un ataque de DNS Cache Poisoning.

Para los que no están familiarizados con el termino los invito a leer este extracto de Wikipedia:

DNS cache poisoning (o DNS Poisoning) es una situación creada de manera maliciosa o no deseada que provee datos de un Servidor de Nombres de Dominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasar debido a diseño inapropiado de software, falta de configuración de nombres de servidores y escenarios maliciosamente diseñados que explotan la arquitectura tradicionalmente abierta de un sistema DNS. Una vez que un servidor DNS ha recibido aquellos datos no autentificados y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, extendiendo el efecto de la situación a los clientes del servidor.

Basta agregar que si ustedes utilizan mi servidor DNS y en el tengo creada la zona santander.mx o facebook.com cualquier llamado a estos sitios respondería a el servidor o lugar que yo decida y por consiguiente pudiera obtener sus credenciales sin problema alguno.

La DNS que aparece con frecuencia es la siguiente:


root@santiago [~]# nslookup 104.219.54.55
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
55.54.219.104.in-addr.arpa name = copaamerica06.stufftoread.com.

Authoritative answers can be found from:
54.219.104.in-addr.arpa nameserver = cns2.atlantic.net.
54.219.104.in-addr.arpa nameserver = cns3.atlantic.net.
54.219.104.in-addr.arpa nameserver = cns1.atlantic.net.
cns3.atlantic.net internet address = 69.16.156.227
cns1.atlantic.net internet address = 209.208.45.83
cns2.atlantic.net internet address = 209.208.45.91

root@santiago [~]#

root@santiago [~]# whois 104.219.54.55
[Preguntando whois.arin.net]
[whois.arin.net]

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

#
# Query terms are ambiguous. The query is assumed to be:
# “n 104.219.54.55”
#
# Use “?” to get help.
#

#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=104.219.54.55?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#

Atlantic.net, Inc. ICC-ATLANTIC-4 (NET-104-219-52-0-1) 104.219.52.0 – 104.219.55.255
Atlantic.Net – Dallas, LLC. ATLORL-104-219-54-0 (NET-104-219-54-0-1) 104.219.54.0 – 104.219.55.255

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

root@santiago [~]#

No esta claro si TELMEX calculando sus costos o que, pero si es claro que se debe tomar acción inmediata para solucionar estos problemas o ellos van a terminar con problemas. Aquí pueden apreciar unos resultados en la búsqueda “HG530 exploit”. Tienen mas de 1 año y no presentan soluciones por el prestador de servicios.

Esta demás decir que el IP 104.219.54.55 es un DNS server malicioso.

One thought on “Fallo de seguridad en Modems HG530 de TELMEX

  1. Pingback: Postfix con relayhost Gmail en Raspbian (valido para Ubuntu también). – albertof@barrahome.org [~]#

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This site uses Akismet to reduce spam. Learn how your comment data is processed.