Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
abril
(Total:
21
)
- Europol cierra WebStresser; servicio de pago para ...
- Bloquear todos los subdominios de Facebook, Google...
- Diferencias entre Google Backup Sync y File Stream...
- Foto de WhatsApp permite detener tráficante de drogas
- Hackean un casino a través de un termómetro de una...
- Intel y Microsoft usarán la GPU integrada para bus...
- El FBI y el CERT advierten de ataques Rusos contra...
- Telegram entrega en broma las llaves de cifrado al...
- GrayKey, el gadget que usará la policía para desbl...
- Fabricantes de teléfonos Android mienten acerca de...
- Actualizaciones críticas para productos Microsoft,...
- Hackean cuenta Vevo de YouTube y borran temporalme...
- Disponible HandBrake 1.1.0: conversor libre archiv...
- El FBI desbloquea móviles con huellas de muertos
- Cuidado con lo que copias: caracteres de ancho cero
- Averigua modelo de móvil de otra persona con sólo ...
- Absuelven informático denunciado por reportar aguj...
- La Policía detiene a dos universitarios en Valenci...
- Vulnerabilidad crítica en el CMS Drupal
- DNS públicos de CloudFlare: 1.1.1.1 y 1.0.0.1
- Hackeadas 150 millones de cuentas de MyFitnessPal
-
▼
abril
(Total:
21
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
307
)
Malware
(
266
)
Windows
(
246
)
android
(
244
)
cve
(
239
)
tutorial
(
238
)
manual
(
223
)
software
(
206
)
hardware
(
197
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta f...
El FBI y el CERT advierten de ataques Rusos contra dispositivos de red como routers
martes, 17 de abril de 2018
|
Publicado por
el-brujo
|
Editar entrada
El Computer Emergency Readiness Team (CERT) de Estados
Unidos conjuntamente con el Centro de Ciberseguridad Nacional del Reino Unido NCSC y el FBI alertan que han intentado tomar el control de varias
infraestructuras de red (routers, switches y firewalls). En el comunicado denuncian que Rusia
está detrás de los ataques sistemáticos que persiguen hacerse con el control
de dispositivos de red como los routers domésticos que proporcionan los
proveedores de internet. El motivo no es otro que el espionaje.
En la declaración de las agencias de inteligencia de Estados Unidos y Reino Unido en la que alertan que hackers rusos apoyados por el gobierno están atacando operadores y routers a nivel mundial para robar datos personales.
Para ello se intenta explotar vulnerabilidades antiguas aprovechando que muchos de estos equipos no han sido debidamente actualizados, utilizando principalmente acceso telnet, HTTP, SNMP y SMI. El comunicado relata 4 pasos que se siguen en los ataques, empezando con la identificación del equipo y software mediante escaneo de puertos y terminando si es factible con la actualización del firmware con backdoor incluido. El objetivo es interceptar el tráfico para espionaje tratando de no afectar al funcionamiento.
La reciente y grave vulnerabilidad RCE de routers y switches Cisco IOS con Smart Install Client no está ayudando nada. Desde que Embedi publicó los detalles técnicos y el código de prueba de concepto (PoC) para la explotación de la vulnerabilidad CVE-2018-0171, el riesgo de ataques aumentó drásticamente.
Routers, switches, firewalls y otro equipamiento de red
Las vulnerabilidades aprovechadas por los hackers rusos pasan por:
Protocolos heredados y mala práctica de seguridad
Los actores cibernéticos rusos aprovechan una serie de protocolos antiguos o débiles y puertos de servicio asociados con las actividades de administración de red. Los actores cibernéticos usan estas debilidades para
Los protocolos dirigidos en este escaneo incluyen
Ejemplos:
Un bot que caza a Cisco
Desde la semana pasada, un nuevo grupo de piratas informáticos llamado ” JHT ” secuestró una cantidad significativa de dispositivos de Cisco pertenecientes a organizaciones en Rusia e Irán, y dejó un mensaje que decía: ” No te metas con nuestras elecciones ” con una bandera estadounidense ( en arte ASCII).
El ataque parece estar sucediendo de la siguiente manera. Un actor de amenazas desconocido está explotando una vulnerabilidad en un software llamado Cisco Smart Install Client, que les permite ejecutar código arbitrario en los switches vulnerables. Los malefactores luego reescriben la imagen de Cisco IOS en los conmutadores y cambian el archivo de configuración, dejando un mensaje que dice "No se meta con nuestras elecciones"
Fuentes:
https://bandaancha.eu/foros/fbi-dice-rusia-quiere-hackear-tu-router-1730385
https://www.adslzone.net/2018/04/17/hackers-rusos-router/
https://www.kaspersky.com/blog/cisco-apocalypse/21966/
- Parece que el objetivo es interceptar el tráfico para espionaje tratando de no afectar al funcionamiento.
- "Quien controla la infraestructura de enrutamiento de una red esencialmente controla los datos que fluyen a través de la red", advierten
En la declaración de las agencias de inteligencia de Estados Unidos y Reino Unido en la que alertan que hackers rusos apoyados por el gobierno están atacando operadores y routers a nivel mundial para robar datos personales.
Para ello se intenta explotar vulnerabilidades antiguas aprovechando que muchos de estos equipos no han sido debidamente actualizados, utilizando principalmente acceso telnet, HTTP, SNMP y SMI. El comunicado relata 4 pasos que se siguen en los ataques, empezando con la identificación del equipo y software mediante escaneo de puertos y terminando si es factible con la actualización del firmware con backdoor incluido. El objetivo es interceptar el tráfico para espionaje tratando de no afectar al funcionamiento.
La reciente y grave vulnerabilidad RCE de routers y switches Cisco IOS con Smart Install Client no está ayudando nada. Desde que Embedi publicó los detalles técnicos y el código de prueba de concepto (PoC) para la explotación de la vulnerabilidad CVE-2018-0171, el riesgo de ataques aumentó drásticamente.
Sistemas Afectados
Routers, switches, firewalls y otro equipamiento de red
- Generic Routing Encapsulation (GRE) Enabled Devices
- Cisco Smart Install (SMI) Enabled Devices
- Simple Network Management Protocol (SNMP) Enabled Network Devices
Las vulnerabilidades aprovechadas por los hackers rusos pasan por:
- Dispositivos con protocolos desactualizados sin cifrar o servicios sin autenticación
- Dispositivos que no se han asegurado lo suficiente antes de su instalación
- Dispositivos que ya no reciben parches de seguridad por parte del fabricante o vendedor, es decir, fuera de su ciclo de vida
Protocolos heredados y mala práctica de seguridad
Los actores cibernéticos rusos aprovechan una serie de protocolos antiguos o débiles y puertos de servicio asociados con las actividades de administración de red. Los actores cibernéticos usan estas debilidades para
- identificar dispositivos vulnerables;
- extraer configuraciones de dispositivos;
- mapear arquitecturas de red internas;
- cosechar credenciales de inicio de sesión;
- hacerse pasar por usuarios privilegiados;
- modificar
- firmware del dispositivo,
- sistemas operativos,
- configuraciones; y
- copiar o redireccionar el tráfico de víctimas a través de la infraestructura controlada por ciber-actores rusos.
Los protocolos dirigidos en este escaneo incluyen
- Telnet (típicamente el puerto 23 del Protocolo de control de transmisión (TCP), pero el tráfico puede dirigirse a una amplia gama de puertos TCP como 80, 8080, etc.),
- Protocolo de transporte de hipertexto (HTTP, puerto 80),
- Protocolo de administración de red simple (SNMP, puertos 161/162) y
- Instalación inteligente de Cisco (puerto SMI 4786).
Mitigaciones generales
- No permita que los protocolos de administración no encriptados (es decir, texto sin formato) (p. Ej., Telnet) ingresen a una organización desde Internet. Cuando los protocolos encriptados como SSH, HTTPS o TLS no son posibles, las actividades de gestión desde fuera de la organización deben realizarse a través de una red privada virtual encriptada (VPN) donde ambos extremos se autentican mutuamente.
- No permita el acceso a Internet a la interfaz de administración de ningún dispositivo de red. La mejor práctica es bloquear el acceso de origen de Internet a la interfaz de administración de dispositivos y restringir la administración de dispositivos a un host interno o una lista blanca o LAN. Si el acceso a la interfaz de administración no puede restringirse a una red confiable interna, restrinja el acceso a la administración remota a través de la capacidad VPN cifrada, donde ambos extremos se autentican mutuamente. Incluya en la lista blanca la red o el host desde el que se permite la conexión VPN, y rechace todos los demás.
- Deshabilite los protocolos no encriptados heredados como Telnet y SNMPv1 o v2c. Donde sea posible, use protocolos encriptados modernos como SSH y SNMPv3. Endurezca los protocolos cifrados según las mejores prácticas de seguridad actuales. DHS recomienda encarecidamente a los propietarios y operadores que retiren y reemplacen los dispositivos heredados que no se pueden configurar para usar SNMP V3.
- Cambie de inmediato las contraseñas predeterminadas y aplique una política de contraseñas segura. No reutilice la misma contraseña en varios dispositivos. Cada dispositivo debe tener una contraseña única. Donde sea posible, evite la autenticación heredada basada en contraseñas e implemente la autenticación de dos factores basada en claves públicas y privadas. Consulte NCCIC / US-CERT TA13-175A - Riesgos de contraseñas predeterminadas en Internet , revisada por última vez el 7 de octubre de 2016.
Ejemplos:
Un bot que caza a Cisco
Desde la semana pasada, un nuevo grupo de piratas informáticos llamado ” JHT ” secuestró una cantidad significativa de dispositivos de Cisco pertenecientes a organizaciones en Rusia e Irán, y dejó un mensaje que decía: ” No te metas con nuestras elecciones ” con una bandera estadounidense ( en arte ASCII).
El ataque parece estar sucediendo de la siguiente manera. Un actor de amenazas desconocido está explotando una vulnerabilidad en un software llamado Cisco Smart Install Client, que les permite ejecutar código arbitrario en los switches vulnerables. Los malefactores luego reescriben la imagen de Cisco IOS en los conmutadores y cambian el archivo de configuración, dejando un mensaje que dice "No se meta con nuestras elecciones"
Fuentes:
https://bandaancha.eu/foros/fbi-dice-rusia-quiere-hackear-tu-router-1730385
https://www.adslzone.net/2018/04/17/hackers-rusos-router/
https://www.kaspersky.com/blog/cisco-apocalypse/21966/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.