Cracking Seguridad Informatica

Fallo de seguridad en Modems HG530 de TELMEX

22 agosto, 2016

DNS ChangedHace unos meses escribí en la cuenta de TELMEX sobre un problema de seguridad y la posibilidad de contacto con ellos. Si bien me llamaron solo fue una llamada de soporte y sin interés en solucionar el problema. Me ofrecieron cambiarme el equipo a lo cual he aceptado pero nunca llego. El problema persiste, el modelo HG530 y posterior a estos sufren un ataque el cual permite a un usuario remoto cambiar tus valores de DNS en el router, por ende esto se escala a un ataque de DNS Cache Poisoning.

Para los que no están familiarizados con el termino los invito a leer este extracto de Wikipedia:

DNS cache poisoning (o DNS Poisoning) es una situación creada de manera maliciosa o no deseada que provee datos de un Servidor de Nombres de Dominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasar debido a diseño inapropiado de software, falta de configuración de nombres de servidores y escenarios maliciosamente diseñados que explotan la arquitectura tradicionalmente abierta de un sistema DNS. Una vez que un servidor DNS ha recibido aquellos datos no autentificados y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, extendiendo el efecto de la situación a los clientes del servidor.

Basta agregar que si ustedes utilizan mi servidor DNS y en el tengo creada la zona santander.mx o facebook.com cualquier llamado a estos sitios respondería a el servidor o lugar que yo decida y por consiguiente pudiera obtener sus credenciales sin problema alguno.

La DNS que aparece con frecuencia es la siguiente:


root@santiago [~]# nslookup 104.219.54.55
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
55.54.219.104.in-addr.arpa name = copaamerica06.stufftoread.com.

Authoritative answers can be found from:
54.219.104.in-addr.arpa nameserver = cns2.atlantic.net.
54.219.104.in-addr.arpa nameserver = cns3.atlantic.net.
54.219.104.in-addr.arpa nameserver = cns1.atlantic.net.
cns3.atlantic.net internet address = 69.16.156.227
cns1.atlantic.net internet address = 209.208.45.83
cns2.atlantic.net internet address = 209.208.45.91

root@santiago [~]#

root@santiago [~]# whois 104.219.54.55
[Preguntando whois.arin.net]
[whois.arin.net]

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

#
# Query terms are ambiguous. The query is assumed to be:
# “n 104.219.54.55”
#
# Use “?” to get help.
#

#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=104.219.54.55?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#

Atlantic.net, Inc. ICC-ATLANTIC-4 (NET-104-219-52-0-1) 104.219.52.0 – 104.219.55.255
Atlantic.Net – Dallas, LLC. ATLORL-104-219-54-0 (NET-104-219-54-0-1) 104.219.54.0 – 104.219.55.255

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

root@santiago [~]#

No esta claro si TELMEX calculando sus costos o que, pero si es claro que se debe tomar acción inmediata para solucionar estos problemas o ellos van a terminar con problemas. Aquí pueden apreciar unos resultados en la búsqueda “HG530 exploit”. Tienen mas de 1 año y no presentan soluciones por el prestador de servicios.

Esta demás decir que el IP 104.219.54.55 es un DNS server malicioso.

Only registered users can comment.

Deja un comentario