DSL Modem Compromised?

7

Acabo de descubrir que el principal & Los servidores DNS secundarios se han cambiado a 95.211.156.101 & 5.45.75.11 .

Tenía la siguiente configuración en su lugar.

  
  • Filtrado de MAC y WPA2 para WiFi.
  •   
  • La contraseña del administrador se dejó en forma predeterminada. (Sospecho que esto fue la laguna explotada. ¿El clickjacking apuesto?)
  •   
  • NAT & IPv4
  •   
  • Todos los servicios fueron desactivados para el lado WAN, incluido ICMP.
  •   
  • Solo se activó la interfaz HTTP para el lado de LAN.
  •   
  • Otras dos computadoras portátiles con Windows se conectan al módem a través de WiFi. Usado por viejos padres y niños. Probablemente los objetivos más fáciles. Analizado en busca de virus / troyanos. Nada encontrado.
  •   

Sería útil conocer los pasos que debo seguir para bloquear la red para que no se vea comprometida nuevamente. Además, ¿qué tipo de pérdida de datos podría haber tenido lugar, además de los nombres DNS? ¿Estas IP son conocidas por alguien?

EDITAR:

Módem: DSL-2750U

Versión de firmware: IN_1.10

    
pregunta saleem 14.12.2013 - 09:21
fuente

1 respuesta

3

Muchos módems DSL están abiertos desde el lado WAN para que los utilicen las empresas de telecomunicaciones (puede intentar hacer telnet desde el lado WAN y ver si está abierto en su módem, intente el nombre de usuario / contraseña predeterminados [1]), aunque podría haber estado el ISP que cambió los servidores DNS parece poco probable ya que las IP no están en el mismo rango.

Como usted dijo, el vector de intrusión más probable es un simple ataque de scripts entre sitios. Protegerse contra XSS es generalmente difícil, por lo general, no hay mucho que un usuario pueda hacer que no sea mantener el navegador actualizado. Por supuesto, cambiar la contraseña rechazará la mayoría de estos ataques, pero aún así te dejará vulnerable mientras estés conectado al módem.

El peor escenario (probablemente (?) baja probabilidad) sería un cambio del firmware del módem, se habría producido un tiempo de inactividad de unos pocos minutos cuando se reinicia el módem. Lo que quedaría con respecto a la fuga de datos es cualquiera que suponga, pero el peor de los casos teóricos sería comprometer todo el tráfico de la red que no es extremo a extremo encriptado con autenticación de punto final (como SSL).

El cambio en los servidores DNS en sí mismo habría filtrado todas las solicitudes de nombres de dominio no almacenados en caché a terceros con el potencial del propietario del DNS para proporcionar resultados de DNS falsos. (Por ejemplo, indicar la IP de fakebank.com cuando solicitó la IP de mybank.com, o simplemente proporcionarle el sitio correcto pero con anuncios adicionales). Este es un escenario más probable.

[1] enlace

    
respondido por el JKAbrams 14.12.2013 - 23:46
fuente

Lea otras preguntas en las etiquetas