Desde hace unos días ha surgido una situación un tanto extraña en muchos hogares. En todas las PC’s (también en los smartphones) cuando se intentaba acceder a un sitio web aparecía una leyenda que decía lo siguiente:
«Su Internet está parcialmente bloqueada». Por favor siga las instrucciones para desbloquear todos los sitios webs. Debajo se explica que fue bloqueado debido a la actividad del usuario y para el desbloqueo se piden u$s 150 de «rescate» (ver imagen). Obviamente para los entendidos esto es un claro ejemplo de Ramsomware que tanto se han visto últimamente, pero para el usuario común… es algo bastante desconcertante.
Gracias a los muchachos de Segu Info y su excelente trabajo me enteré que esto afectó solamente a algunas versiones de modems «Zyxel P-660HW-T1» y «Zyxel P-660HNU-TX». Efectivamente desde el martes tuve 3 llamados sobre el tema y todos eran de los primeros. Cuestión que pude solucionar el problema sin demasiados inconvenientes.
¿Por qué sucede esto?
Al parecer, es un ataque al firmware de los módemos-routers mencionados que modifica la ¿tabla de enrutamiento? o lo que sea que cuando uno pone «youtube.com» el módem nos dirija a un sitio ficticio y no al verdadero, poniendo al usuario en una sensación de… ¿WTF? Este ataque se debe justamente a una vulnerabilidad del tipo Cross Site Request Forgery (justamente lo que se explicó anteriormente en forma casi burda) descubierta por Mustafa Altinkaynak (que nombrecito…) y encontrada en el software de estos Zyxel que al ejecutarse cambia los DNS (tanto primary como secondary) para que apunten a un servidor DNS «envenenado» que redirige al sitio que pide rescate en cuestión. Vale aclarar que esta vulnerabilidad todavía no fue solucionada por el fabricante de los equipos.
Cómo solucionarlo
Me enteré de mucha gente que llevó su PC a una casa de computación por el problema y terminaban instalandole nuevamente Windows, pero esa no es la solución ya que justamente la cuestión estaba en el módem router. La solución es básicamente la siguiente:
- Antes se debe resetear el módem. En el orificio que esta en la parte superior introducir un escarbadientes y presionar el botón interno al menos 10 segundos, esperar a que el módem conecte.
- Abrir el navegador e ingresar a http://192.168.1.1/admin.html (cambiar la IP en caso de ser necesario).
- User name: admin (en minúsculas)
- Password: CalVxePV1! (respetar mayúsculas)
- Seleccionar Go to Advanced Setup, luego Apply. Aparece la gestión del modem como Administrador.
- En el menú de la izquierda seleccionamos Network y luego WAN. Verificar quen en la tercera opción del menú DNS Server este marcada la opción «Obtained from ISP» tanto en «Primary DNS» como en «Secundary DNS». En el caso de realizar algún cambio, seleccionar Apply.
- Seleccionar Network y luego LAN. Seleccionar la solapa DHCP Server y en la opción dePrimary DNS Server y Secundary DNS Server deben colocarse el valor «0.0.0.0». Si figuran valores distintos, (como por ej. 46.244.XX.19) significa que el ataque modificó la IP de los DNS Server. Corregir y seleccionar Apply.
- Seleccionar Security y luego Firewall: activar el Firewall a nivel Medium. Al parecer al activar al Firewall, el ataque no se vuelve a producir.
- Presionar Apply y luego Logout arriba a la derecha. Reiniciar el modem nuevamente desde el botón.
- Si todo salió bien no debería presentarse el problema nuevamente.
Lo que no he probado fue si con los DNS de Google o de Open DNS en la PC se podía bypassear el hack en el módem, es decir, si por más que el módem esté «hackeado» podría navegar normalmente. Lo que me pasó en un módem, eso si, fue que en lugar de quedar vulnerable dejó de conectarse al servidor de Arnet (lo encontré así) pero tenía la particularidad de que la contraseña del Administrador había sido cambiada.
Sería genial saber si, a pesar de la vulnerabilidad en los módems, esto podría haberse evitado.
La cantidad de de información que se debe haber perdido con esos formateos sin sentido.
Un caso medianamente similar que tuve es cuando un cliente me llamo porque no le funcionaba el Candy Crush. Después de revisar todo el sistema(40min después), me di cuenta que el problema estaba en la IP de speedy, reinicie el router y salio andando sin problema.
Ante cualquier duda, siempre hay que revisar la conexión primero que nada.
Vi el caso hace unos días acá en cdelu, la gente de arnet ya esta al tanto porque se lo soluciono el servicio técnico en forma remota
Hace un par de días, una amiga tenia este mismo problema al que tome cartas en el asunto y me puse a investigar. Despues de pasar algunas cuantas horas, analizando la PC y buscando ficheros que este infectados.
Tuve la brillante idea de conectar la PC al Wifi del querido vecino. Bingo, asunto solucionado.
Ahora, Arnet se te escapo la tortuga eh!
OFF: No deja de ser interesante, lal vulnerabilidades que le buscan los chorros, realmente es de admirar
Ya tuve dos de esos. Por suerte me dí cuenta que era un problema del Servicio de Arnet y no de la PC, ya que arranqué desde un Live CD y también fallaba, desde celu también.
Siempre llevo anotado los números IP de varias páginas y al escribir http://173.194.42.244 vamos directo a google sin pasar por el DNS… y adivinen… funcionaba.
Si ponemos algún DNS fijo en la PC el problema se salva, por ej con openDNS o google. Yo como era una PC fija le puse los de Arnet. En una notebook no nos conviene un DNS fijo de Arnet.
No estaba seguro como funcionaba el exploit así que quizás no tomé las prevenciones para que no vuelva a ocurrir, ahora ya estoy avisado.
DNS Arnet
200.45.191.35
200.45.194.40
FiberTel: 200.49.156.3 (nsx3.fibertel.com.ar)
FiberTel: 200.49.159.69 (nsx2.fibertel.com.ar)
FiberTel: 200.49.156.8 (nsx8.fibertel.com.ar)
FiberTel: 200.49.156.7 (nsx7.fibertel.com.ar)
Speedy: 200.51.212.7 (dns0c.telefonica.com.ar)
Speedy: 200.51.211.7 (dns0r.telefonica.com.ar)
OpenDNS: 208.67.222.222 (resolver1.opendns.com)
OpenDNS: 208.67.220.220 (resolver2.opendns.com)
Google Public DNS
8.8.8.8
8.8.4.4
Suerte que siempre cambio las DNS a las de Comodo, son las mejores, por aquí las dejó si acaso.
Primary: 8.26.56.26
Secondary: 8.20.247.20
«Me enteré de mucha gente que llevó su PC a una casa de computación por el problema y terminaban instalandole nuevamente Windows»
Como se ha atrofiado la profesión de técnico informático, ante cualquier cosa sale formateo e instalación. Por supuesto que acabás con todos los problemas de la PC dejándola a fábrica, pero hay miles de problemas que se solucionan en minutos sabiendo donde tocar.
Si, mucho noob e incompetente en el rubro. Opacan a los que realmente saben.
A mi no me ha ocurrido esto, pero tengo un Router de esa marca. Recomiendan que active el firewall del router, aunque me da la sensación por lo menos de que anda mas lento ínterin?
No me sorprende de los «Zyxel»
los zte que entrega telefonica tambiern tienen el bug del rom0 con el cual te lo podes bajar y con una utilidadd lo desecriptas y sacas el password y de esa forma acceder y cambiar las dns por unas dns de los chorisos estos.
Tuve el mismo problema hace unos meses, un amigo tenia un TP-Link TD-W8901G y el servicio ADSL de Arnet. De un día para otro, no se podía acceder a la pagina de Facebook y solo algunas de las PCs tenían acceso a internet. Revisando la configuración IP de las maquinas, note que los DNS eran extraños. Trate de acceder a la configuración del modem y no lo logre, en el momento, crei que no tenia la contraseña correcta. No tuve mas remedio que resetear el modem y configurarlo nuevamente para Arnet. Todo funciono de maravillas otra vez. A la semana, paso exactamente lo mismo, se cambio la contraseña de acceso y los DNS. Buscando en Internet, encontré información sobre una vulnerabilidad que poseían ciertos modems, uno de los cuales es el que poseía mi amigo, la cual es la que explica Hernan en el comentario anterior. La mayoría de estos modems ya no tienen soporte y por lo tanto no existirá un nuevo firmware que solucione esta falla. Vi que hay una manera alternativa de corregir este problema, pero es bastante complicada. La solucion mas rapida y sencilla, fue adquirir un nuevo modem…
Saludos!
Me voy a abrazar a mi Cisco y vuelvo.
Me enamoré.
Guillote no nos espantes las damas!
hay ella, tiene cisco
Buen dato. OFF, me llamó poderosamente la atención el NO ver un post dedicado al día de SysAdmin. Esperaba ver un poco mas que un post sobre como evoluciona Foursquare…
Siempre que el firewall del router no tenga un bloqueo al puerto 53, el cliente puede usar el DNS que se le cante.
buena info, me paso esto hace poco, le cambie los dns y funcionaba, parece que el problema estaba con los dns, ahora que leo esto entonces me voy a fijar si era un zyxel por que la compañia si era arnet