17 de agosto de 2018, 12:05:18
collapse

* Tus Datos

 
 
Bienvenido(a), Visitante. Por favor, ingresa o regístrate. ¿Perdiste tu email de activación?

* Noticias

No te olvides de marcar tu tema como solucionado y de agregar el tag [Solucionado] al título!!! ;)

Autor Tema: Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.  (Leído 698 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
les comento, vengo batallando con que cada 3 o 4 días aparecen cosas agregadas en el port forware (nombre fácil "Virtual Server", como estos modems no piden ningun user/pass para agregar esso virtual server, son totalmente inseguro.

Peor aún lo hacen desde WAN side, o sea ni debes tener algo infectado para que te lo hagan ¿Cómo? ni idea.

La web está configurada para solo atender lan side, por la naturaleza de mi red (PCs virtuales CONGELADAS sin piratería), descarto cualquier troyano interno

En fin, estoy seguro que en algún servicio de ADS de páginas web visitadas, pueden estar metiendo en el HTML un IFRAME no visible, con la url IP + url php  necesaria para ordenar la colocada del virtual server, lo que se le antoja.

O se, desde una página web visitad pueden estar ordenando a tu router a abrirse.

Calculo que probarán un listado de IPs defaults, un buen listado, etc., con la urls de los routers más conocidos. de cada país.

¿Cómo se sabe si te la están poniendo?

enntras a ver el port forward en el router y ves un montón de redirecciones agregadas que vos no hiciste.



Lo curioso q de nombre le ponen "Galleta Silenciosa", siempre el mismo nombre.

Y te redireccionan los puertos LAN side: 139 445 443, 80, 8080, es decir, te redireccionan todo, pero en el WAN side le ponen puertos altos, es de cir, ponele, al 139 te lo mandan al 45### calculo que es para evitar los bloqueos normales que ponen los ISP en cuanto a puertos claves.

En fin, ponen un par de esos cada 3 o 4 días.

¿Álguien sabe si es posible updatear el firmware, y quitar el acceso fácil donde no pide ni user ni pass?.


Desconectado pablokorn10

  • Compañero
  • **
  • Mensajes: 127
  • Power: 10
  • Sexo: Masculino
    • Pampa Chillout
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #1 : 30 de julio de 2018, 14:11:26 »
Buenas tardes,

Primero y principal, qué modem-router es y qué versión de firmware tiene?

Segundo, tenés WPS activado en tu access point?

Tercero, identificás todos los equipos que figuran en DHCP Server y la tabla de ARP?

Sospecho que tenés algún amigo de lo ajeno conectado a tu red con la IP 10.1.2.144, que dicho sea de paso, te responde PING, o solicita autenticación al ingresar por SMB: \\10.1.2.144?

Hay routers que con el tiempo le fueron encontrando bugs de seguridad del tipo que mencionás, por ejemplo las primeras versiones de los DIR-300 y 600, no conozco casos puntuales sobre los equipos que entrega Arnet.

Revisá un poco lo que te comenté y a partir de allí vemos algunas opciones de seguridad básicas.

Saludos.
Iplan Giga+ 50x50 Mbps" class="bbc_img

Desconectado Yacurmana

  • Compañero
  • **
  • Mensajes: 70
  • Power: 9
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #2 : 30 de julio de 2018, 16:55:02 »
Hace unos años se detecto esa vulnerabilidad.
Hay que tratar de conseguir firmwares actualizados, porque por mas que telecom haya instalado el router recientemente puede venir con un firmware del año del pedo.

https://unaaldia.hispasec.com/2014/12/la-galleta-de-la-desgracia-ataca.html


Yacur.

Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #3 : 30 de julio de 2018, 17:25:10 »
el modelo es este


lo repartiò telecom en el 2015 con el tema de los servicios VDSL+

Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #4 : 30 de julio de 2018, 17:33:22 »
En la tabla ARP solo hay 1 IP , la de un segundo router, no más (un coyote).

y por el wifi tampoco, porque hago mac filtering, solo hay 4 dispositivos, y no es un spot público.

Como tengo una segunda subnet, es como que lo que quieran redireccionar solo afectará a los dispositivos wifi.

todo lo que es lan cableado lo tengo protegido  en fin.

esa IP q dice ahí en el port forward, no se corresponde con ninguna PC mía, no veo nada mas.

También estuve viendo q tiene 3 cuentas, la admin tiene pass modificado, pero hay una support y una cuenta user, q no me se los passwords, pensé en eliminarlas pero no se ve como,.

La verdad es un desastre la seguridad de ese router.

Creo que contaban con que yo en algún momento tenga alguna carpeta compartida o algo así.

pero ese screen no es nada, cuando vi la primera vez. eran 20 redirecciones,

y habían redireccionado las IP correctas, los 5 slots del DHCP todos redireccionados.

puertos 139 443 445 80 8080, 8180, 21, todo, y otros puertos más q ya no recuerdo.

La verdad Telecom un desastre.

Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #5 : 30 de julio de 2018, 17:44:52 »
asì tengo configurado el wifi.

tengan en cuenta q uso mac filtering.

Y la leyenda dice q al usar eso, todo lo que es WPS2 de desactiva.



aunque estoy seguro que no es por WIFI, esa IP, ni siquiera pertenece al DHCP pool.

Salvo q estè confundido, ya no se q hacer.
« Última Modificación: 30 de julio de 2018, 17:48:18 por flyguille »

Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #6 : 30 de julio de 2018, 18:01:55 »
aca revisando màs los status veo algo raro



esa IP no es ni mi ip WAN ni es la IP del primer salto que figura en los tracert. ¿De dónde sale esa IP?

Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #7 : 30 de julio de 2018, 18:15:03 »

Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #8 : 30 de julio de 2018, 18:17:06 »
aca revisando màs los status veo algo raro



esa IP no es ni mi ip WAN ni es la IP del primer salto que figura en los tracert. ¿De dónde sale esa IP?

Estaba equivocado se ve q me cambiaron la IP del primer salto y yo ni enterado antes tenía la 200.3.60.164, ahora misteriosamente mi primer salto es esa ¿Será por la fusión Telecom - Fibertel? en, fin.


Desconectado jrbcba

  • Iniciado
  • *
  • Mensajes: 46
  • Power: 2
  • Sexo: Masculino
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #9 : 30 de julio de 2018, 22:05:07 »
Esos modems estan abiertos desde wan. A una vecina mía le andaban pidiendo bitcoin, resulta que le habían cambiado los DNS.

Fijate si no hay una opción "remote management" mas abajo.

Desconectado pablokorn10

  • Compañero
  • **
  • Mensajes: 127
  • Power: 10
  • Sexo: Masculino
    • Pampa Chillout
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #10 : 30 de julio de 2018, 23:12:56 »
Hace unos años se detecto esa vulnerabilidad.
Hay que tratar de conseguir firmwares actualizados, porque por mas que telecom haya instalado el router recientemente puede venir con un firmware del año del pedo.

https://unaaldia.hispasec.com/2014/12/la-galleta-de-la-desgracia-ataca.html


Yacur.

Buena data, si bien el equipo en cuestión no se encuentra listado como afectado y no estoy seguro de que sea la misma vulnerabilidad, en este repositorio https://github.com/fundacion-sadosky/misfortune-cookie comentan que se detectaron 220.000 dispositivos en Argentina que siguen utilizando el módulo RomPager vulnerable.

En este sitio se podría verificar si el equipo se encuentra vulnerable abriendo el puerto TCP 80 con destino en la IP del router: https://rompager.hboeck.de/, sino corriendo manualmente el script: https://github.com/hannob/rompager-check.

Actualizar el firmware parece misión imposible, como mucho se podría extraer el firmware actual e intentar instalar un OpenWRT o similar, pero cantado que como mínimo se pierde la funcionalidad de modem.

Sinceramente sugiero poner el equipo en bridge y utilizar un router de terceros con soporte vigente.
Iplan Giga+ 50x50 Mbps" class="bbc_img

Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #11 : 31 de julio de 2018, 09:38:49 »
en la página para ver dicha vulnerabilidad me sale q no tiene servicios desde wan

Port 80
No HTTP server found

Port 7547
No HTTP server found


Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #12 : 31 de julio de 2018, 09:41:55 »
y también desactive el remote management de telecom

a ver,

lo único descongelado que usa el wifi, de vez en cuando, es la laptop.

tengo el avast, y no creo q esté infectada, cero piratería, y no, no ando ejecutando boludeces.

win 10 full update, etc.


Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #13 : 31 de julio de 2018, 09:44:35 »
la verdad estoy preocupado, pueden estar queriendo robar source code comercial o algo..., pero por suerte no uso el fileshare SMB q es lo que intentaron atacar, atacando el netbios y esos puertos.

no se como mierda le hacen. Y no tengo ganas de formatear.

Desconectado flyguille

  • Compañero
  • **
  • Mensajes: 119
  • Power: 1
Re:Routers TELECOM ARGENTINA son totalmente inseguros al espionaje.
« Respuesta #14 : 31 de julio de 2018, 09:48:26 »
Hace unos años se detecto esa vulnerabilidad.
Hay que tratar de conseguir firmwares actualizados, porque por mas que telecom haya instalado el router recientemente puede venir con un firmware del año del pedo.

https://unaaldia.hispasec.com/2014/12/la-galleta-de-la-desgracia-ataca.html


Yacur.

Buena data, si bien el equipo en cuestión no se encuentra listado como afectado y no estoy seguro de que sea la misma vulnerabilidad, en este repositorio https://github.com/fundacion-sadosky/misfortune-cookie comentan que se detectaron 220.000 dispositivos en Argentina que siguen utilizando el módulo RomPager vulnerable.

En este sitio se podría verificar si el equipo se encuentra vulnerable abriendo el puerto TCP 80 con destino en la IP del router: https://rompager.hboeck.de/, sino corriendo manualmente el script: https://github.com/hannob/rompager-check.

Actualizar el firmware parece misión imposible, como mucho se podría extraer el firmware actual e intentar instalar un OpenWRT o similar, pero cantado que como mínimo se pierde la funcionalidad de modem.

Sinceramente sugiero poner el equipo en bridge y utilizar un router de terceros con soporte vigente.

sisissi, yo estoy usando otro router en el medio antes del subnet, es lo que me ha salvado, es más los DNS están puestos manualmente, o sea si le cambian los DNS al router de Telecom, yo sigo usando otros, etc.

SALVO por lo que es wifi, 2 celus de porquería y 1 laptop. Y los celus nunca están, al menos no estuvieron cuando volvió a aparecer la galleta silenciosa.
« Última Modificación: 31 de julio de 2018, 11:28:09 por flyguille »