shutterstock_98042075.jpg

Como siempre aquí dando mis lecturas matutinas para mantenerme actualizado y quiero compartirles una noticia de mucha importancia. Se ha dado a conocer una forma de ataque basado en la web que le permite a un ciberatacante tomar control de los routers cuando el usuario visita un sitio comprometido o visualiza anuncios maliciosos en el navegador.

El objetivo de este ataque es reemplazar los servidores DNS configurado en los routers con otros controlados por los atacantes. Esto les permite interceptar el tráfico, Suplantar sitios, secuestrar consultas, inyectar anuncios maliciosos en sitios, entre otros. Al atacante intervenir en este punto puede responder con una ip maliciosa, esto quiero decir que cuando el navegador busque un sitio, este pueder ser redireccionado a otro sitio que por ejemplo, este destinado para robar credenciales.

Un investigador de Seguridad observó recientemente el ataque lanzado de un sitio comprometido y notó que redireccionaba al usuario a un Kit de Exploits basado en Web. Estos Exploits usualmente tiene como objetivo navegadores, plugins, y demás desactualizados, y explotan fallas conocidas.

Como Funciona el Ataque?

El Ataque consiste en inyectar código malicioso en un sitio comprometido o incluyéndolo en anuncios maliciosos, estos automáticamente redireccionan al usuario a un servidor que determina el sistema operativo, IP, ubicación geográfica, navegador, plugins y otros detalles de la víctima, basado en estos atributos recolectados, el servidor selecciona y lanza un exploit de su arsenal que puede ser exitoso.

Algo que es bueno mencionar, es que muchos usuarios entienden que por la sencilla razón de que el portal de administración del router solo puede ser accedido por el router no puede ser explotado, esto es falso, ya que mediante una técnica llamada Cross-site request forgery (CSFR), el sitio malicioso puede forzar al navegador a ejecutar acciones maliciosas o sitios distintos. Este sitio puede ser el portal de administracion del router que solo es accedida localmente. Muchos sitios tienen protección contra esta técnica, pero los routers generalmente no.

El kit de exploit encontrado por el investigador de seguridad usa CSFR para detectar mas 40 modelos de routers de distintos fabricantes. Dependiendo del modelo detectado, intenta cambiar las configuraciones de DNS explotando vulnerabilidades comunes o usando credenciales administrativas por defecto.

Otro punto es, que si el ataque es exitoso, el DNS primario es sustituido por uno controlado por el atacante y uno secundario es configurado con los DNS de google, de esta forma, si el servidor atacante esta fuera de linea por cualquier razón, el router cuenta con un servidor DNS funcional para seguir resolviendo nombres y asi no levantar sospechas.

Muchos fabricantes están lanzando actualizaciones para resolver estas fallas, pero como sabemos a veces requieren de un conocimiento técnico que no todos los usuarios tienen y es por esta razón que en la mayoría de los casos nunca son actualizados.

La recomendación aquí es que visiten el site del fabricante de sus equipos en busca de actualizaciones de firmware y más si son de seguridad. Usualmente tienen los pasos a seguir para actualizar, asi que les recomiendo que se documenten y procedan a proteger sus equipos, de la misma manera se protegeran ustedes. De vez en cuando es recomendable revisar sus configuraciones en buscar de valores inusuales o que no hayamos configurado.

 

Fuente: CIO | jsitech

¿Quién está en línea?

Hay 15871 invitados y ningún miembro en línea