Módems 2Wire vulnerables
Para todos los usuarios que utilizan uno de estos módems: hoy una conocida empresa de seguridad advirtió que estos dispositivos tienen una vulnerabilidad que está siendo aprovechada por algunos atacantes para modificar los servidores y los hosts DNS locales… el ataque llega con un mensaje: el título y el asunto es “EU dio 40 años a principal operador del Cartel de Tijuana” y claro, incluye un código de explotación, de tal manera que cuando se abre el archivo en su formato HTML, el código intenta automáticamente acceder a la consola Web del módem y modificar la base de datos del host local para redirigir las solicitudes de banamex.com…, además el mensaje malicioso también tiene un video que lo único que hace es descargar un troyano. Así que con cuidado.
uy que mala onda…. ya decia yo que no pintaban muy seguros esos modems, la verdad ya se habian tardado…
pues bueno solo queda cambiar la seguridad si se trata de empresa no? una buena opcion son los linksys y claro tener antivirus antiespias y demas chunches…
saludos
Esto es viejo, desde Agosto de 2007 se tiene conocimiento de la falla por parte de Telmex y ya se han realizado algunas actualizaciones para “tapar” la falla
Info: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4389
Y dónde puedo saber que modelos son los afectados?
A esos modems se le puede poner un pass, al parecer con eso es suficiente para que el troyano no modifique los servidores y los hosts DNS locales.
Hola a todos. Pues nadie ha especificado el modelo de módemo 2Wire que es vulnerable y con eso me imagino que todos. Por otro lado, los ataques no son viejos y siempre como usuarios tenemos que ser precavidos…
PUES QUE MALA ONDA ESPEREMOS QUE NO AFECTE A MUCHOS QUE USAMOS ESTE TIPO DE MODEM PUES CREO QUE SOMOS MUCHOS.
SOLO TENGO UNA PREGUNTA ¿SI ME LLEGARA A TOCAR ESTE VIRUS PUEDO HACER ALGO PARA VOLVERLO A COMPONER O YA SE DESCOMPONDRIA DEFINITIVAMENTE Y TENGO QUE CAMBIARLO?
SALUDOS A TODOS(*_*)
NOTA EL MODELO ES:2wire, 1701HG Router, 3.17.5 Para los que nos sepan
Bueno, ahi les va de mi ronco pecho:
La vulnerabilidad es “vieja conocida” (entendiendo por viejo que en esto de la tecnología ya tiene varios meses), como bien dice José Saúl, desde a mediados del año pasado se empezó a difundir, aunque no dudo que se haya descubierto mucho antes.
En cuanto a los modelos, por mi propia experiencia les puedo decir que son vulnerables los modelos 2701HG-T y 2070, y el de la ilustración que acompaña este articulo (no recuerdo el modelo) por lo menos. Puesto que el problema esta en la interfaz, son vulnerables todos los que la compartan, supongo que seran toda la serie 2000. Ponerles pass no es suficiente ya que lo primero que se hace es enviar una instruccion que cambia o resetea el password SIN REQUERIR (y aqui está lo grave) EL PASSWORD ACTUAL!
Si el modem se ve afectado es necesario entrar a la configuracion y cambiar manualmente las configuraciones afectadas, generalmente son el borrar el pass y agregar una lista en la tabla de nombres DNS. O de plano hacer un reset total, para que quede como de fábrica.
Este vulnerabilidad se ha venido explotando a traves de correos electronicos diversos. A mi me han llegado hasta 2 veces a la semana en una de mis cuentas, y tiene la caracteristica comun que te piden bajar un .exe aunque no es el unico modo de ataque, ya que tambien se intenta direccionando el navegador hacia una pagina en la que existe un banner flash que tiene el código malicioso.
Los antivirus deberían, eventualmnete, detectar el .exe como un troyano (cuando hice las pruebas, a principios de diciembnre aun no era detectado por los antivirus que probé), pero supongo que ya estarán actualizados al respecto aunque no lo he probado de nuevo.
En cuanto al código en flash es mas dificil detectarlo ya que se ejecuta como una animacion de publicidad o una tarjeta virtual al que se han agregado estas lineas de codigo malicioso. No estoy al tanto de como los antivirus tratan los archivos flash.
Desde diciembre que sufrimos un ataque en la empresa donde trabajo me he visto obligado a investigar todo esto y aca les he hecho un resumen de lo que averiguado.
Disculpen si me he extendido.
En la liga que les propocione viene la informacion de los modelos afectados, y los firmware:
− 2wire, 1701HG Router, 3.17.5
− 2wire, 1701HG Router, 3.7.1
− 2wire, 1701HG Router, 5.29.51
− 2wire, 1800HW Router, 3.7.1
− 2wire, 1800HW Router, 3.17.5
− 2wire, 1800HW Router, 5.29.51
− 2wire, 2071 Router, 3.7.1
− 2wire, 2071 Router, 3.17.5
− 2wire, 2071 Router, 5.29.51
Aunque ya tiene tiempo el problemas sigues llegando muchos casos sobre esto
Yo tengo el 2wire, 1800HW Router, 3.7.1 :
Ahora que recuerdo hace no mucho tiempo los servidores de telmex bloquearon mi modem para que no pudiera conectar a internet, despues hable a telmex para reclamarles y me dijeron que lo bloquearon porque me iba a entrar un virus o algo muy peligroso que podia descomponer tanto el modem como la PC y por eso lo hicieron por seguridad, luego me dijeron que usara su antivirus (panda prodigy antivirus) que uso desde entonces.