Una nueva versión de un viejo ataque podría vulnerar millones de routers

por

Netgear, Linksys y Belkin juntan frío

El los próximos días se dará inicio a una nueva edición de la conferencia de seguridad Black Hat, donde empresas del rubro y muchos hackers aficionados presentarán sus últimos descubrimientos al mundo. Seismic, es una compañía de investigación en seguridad informática con sede en Maryland y nos entregan un adelanto de lo que puede ser un potencial peligro para todos los usuarios que posean un router Lynksys, Belkin, Netgear, entre otros.

La presentación de Seismic en la Black Hat tiene el nombre “Cómo hackear millones de routers” y nos da una idea de la escala que puede tener la vulnerabilidad, la que además involucra a ciertos modelos que utilizan algunas compañías que ofrecen servicios DSL o por cable modem.

El ataque utiliza la vieja técnica de “recubrimiento DNS”, que consiste en convertir a los navegadores en proxies abiertos y trastornar la protección “política del mismo origen”. Como el culto lector sabrá, los DNS nos permiten abstraernos de las largas – y complicadas – direcciones de internet (IP) para lograr acceder a un sitio web de una forma mucho más amigable como son los dominios: ejemplo, www.chw.net. Un DNS acepta multiples IPs para un nombre de dominio, ayudando a balancear la carga de trafico entre diferentes maquinas. En un ataque de “recubrimiento DNS” el atacante toma control tanto del sitio web como del servidor DNS,  además engaña al navegador indicando que la dirección que visitó tiene el mismo origen de la página maliciosa que ha sido creada en el DNS. Al crear entradas DNS en la red local de la víctima, el atacan que puede engañar fácilmente al navegador y de ese modo poder acceder a la red interna.

La mayoria de los routers no tienen la capacidad para funcionar como servidores web, por lo que el atacante no podría recrear un DNS. Lamentablemente existen routers denominados SOHO – un ejemplo de ellos es el aperrador Linksys WRT54GL – los que poseen firmware modificado para correr todo tipo de procesos. Si a esto le sumamos que los proveedores y algunos usuarios no se da el tiempo de cambiar las contraseñas por defecto, estamos frente a un ataque que puede ser explotado masivamente.

Una lista de los routers afectados por la vulnerabilidad la puedes encontrar aquí. En caso estés navegando con uno de los populares D-Link DI-524 o D-Link DI-624, pueden respirar tranquilos, si utilizas un Linksys, Netgear o Belkin lo mejor es verificar la lista y cambiar contraseñas por defecto.

Link: Millions of routers vulnerable to new version of old attack (Arstechinca)