Como ya saben desde meses atrás se tiene conocimiento que varios routers que instala Movistar presentan una falla de seguridad que permite a cualquiera acceder remotamente a los datos del usuario y contraseña (leer el post de redeszone), y esto viene siendo aprovechado por inescrupulosos para modificar los DNS haciendo que apunten a sus servidores e intentan forzar la instalación de diversos software maliciosos en las PCs de la red vulnerada.
Siendo 14/11/2012, en los 4 últimos días encontré 2 redes de diferentes ciudades del Perú, con routers ADSL de diferentes marcas (Comtrend y ZTE) en los cuales los DNS habían sido modificados, ocasionando que, al intentar navegar desde las PCs de dichas redes, carguen páginas clonadas (ejemplo Gogole, Facebook, Youtube, Hotmail. etc) que descargan e intentan instalar automáticamente un software para que la página cargue normalmente.
Normalmente un antivirus actualizado impedirá la ejecución del archivo. En otros casos si se tiene algún tipo de seguridad para navegación web, la página clonada será bloqueada. Inicialmente algunos pensarán que tienen virus, buscarán y probablemente no encuentren nada, incluso alguno terminara formateando sus PCs pensando que con ello se solucionará el problema. Luego se dará cuenta que todo sigue igual, pues el origen del problema no está allí.
En la imagen un ejemplo del mensaje de alerta que arrojó McAfee Site Advisor al intentar acceder a una página
En la imagen se observa que al intentar acceder a Facebook, se muestra un mensaje en portugués indicando que se descargara e instalará un software, que supuestamente es una versión de Adobe Flash Player
En la vista se aprecia que los DNS que figuran en el router (Logré ingresar con un usuario sin permisos administrativos) , no corresponden a los de Movistar (en el caso de Perú son: 200.48.225.130 y 200.48.225.146) . Se observa que el DNS primario apunta a la IP 200.98.69.78
Efectuando un Tracert a dicha se observa que proviene de Brasil:
SOLUCIÓN:
Dado que en Movistar Perú normalmente no provee actualizaciones de firmware para los routers que instala; a los usuarios solo les queda protegerse como puedan. Así que debemos deshabilitar el acceso remoto al router
Lo primero que debemos hacer es modificar los DNS en el router, sea haciéndolo Uds mismos (para lo cual deben contar con el usuario y password de su router), solicitando a Movistar haga el cambio, o simplemente reseteando a fábrica el router (normalmente luego del reset a fábrica, la conexión a internet se mantiene sin problemas, pero si corrige los DNS).
En ambos casos que encontré, la solución fue resetear los router. Como ven en la imagen se corrigieron los DNS (y de paso ya logré acceder a la configuración del mismo con el usuario administrador y password por defecto se ambas marcas).
Hecho esto ingresen a la configuración del router y deshabiliten el acceso remoto, luego graben y reinicien dicho equipo:
En el caso del ZTE ZXDSL 831ii desmarcar todo en Remote Access:
En el caso del Comtrend CT-5367 desmarcar todo el lado WAN
Con esto se solucionó el problema en ambos casos:
CONSEJOS:
- Revisen regularmente que los DNS de su router se hallen con los que corresponden.
- Siempre instalar las actualizaciones y revisiones de seguridad de su sistema operativo y software instalado.
- Mantener al día las firmas de virus en su antivirus.
No hay comentarios:
Publicar un comentario