Hackeando ROUTERS mediante Unauthenticated DNS Change Remote - a Exploit 0day Tale

Hackeando ROUTERS mediante Unauthenticated DNS Change Remote - a Shodan & Exploit 0day Tale

Buenos días Vietnammmm...

Hoy vamos a hablar de un ataque llamado: Unauthenticated DNS Change y es un 0day  que se encontró en varios modelos de routers como lo son:

• iBall Baton iB-WRA150N 
• UTstarcom WA3002G4 
• D-Link DSL-2640U 
• D-Link DSL-2640B 
• Beetel BCM96338

y muchos mas que podrán encontrar en Internet.

ALCANCES DE LA VULNERABILIDAD

Esta vulnerabilidad como su nombre lo dice, a los delincuentes informáticos les da la facultad de crear nuevos DNS con los cuales redirigir el trafico a posibles sitios maliciosos para así poder snifear datos y también pueden modificar la configuración de DNS de los sistemas de tal forma que les permitirá realizar actividades maliciosas como:

• Dirigir usuarios desconocidos a sitios malos como lo son paginas de phising, scamming de sitios conocidos y así robar logins y passwords. 

• Sustitución de anuncios en sitios legítimos.
  

• Control y redireccionamiento del tráfico de red.

• Instalar malware.

etc. etc. etc. 

DISCLAIMER

Esta vulnerabilidad y/o los programas que se mostraran son para Educación SOLAMENTE. No lo use sin permiso. Se aplica la renuncia habitual, especialmente no soy responsable de ningún Daño causado ​​por el uso directo o indirecto de la información y/o funcionalidad proporcionada por estos programas.

El autor o cualquier proveedor de Internet NO asume ninguna responsabilidad por el contenido o mal uso de estos programas o sus derivados.

Usando estos programas usted acepta el hecho que cualquier daño (dataloss, fallo del sistema, compromiso del sistema, etc.) causado por el uso de estos programas no es de Todor Doneev responsabilidad ni mio al explicar como se usan.

¡Usélos bajo su propio riesgo! y como investigación solamente

OK amigos una vez dicho pasemos a ver como se usan.

DESCRIPCIÓN DEL ATAQUE IN DEEP

• CLave CVE: No asignada todavía

•  Clave EBD-ID: 42195

• Autor: Todor Donev

• Release: 17 de Junio del 2017

• Plataformas atacadas: Hardware Routerś

• Link de exploit de ejemplo: D-Link DSL-2640U-IM 1.00

Para este Ejemplo de ejecución del exploit usaremos el D-LINK DSL-2640U con el cual primeramente tendremos que buscar los sitios en el mundo que tienen este modelo de router y para eso usaremos shodan con lo cual entramos a la página de shodan y buscamos los modelos que presumiblemente pueden ser atacados:

La imagen nos muestra en RUSIA 30 routers y otros mas en KAZAJASTHAN que cumplen con el primer requisito de tener la información que buscamos, cabe mencionar que todavía falta ver si son vulnerables o no !ok!.

Una vez hecho esto ahora tendremos que ver si podemos entrar o conectarnos a un router de los encontrados, lógicamente siempre usen condón electrónico (ocultar su ip):

Listo si se conecta y nos pide el nombre y password de acceso, pero ese no es el motivo de este artículo. si no el de ver como usaremos el exploit saber si es vulnerable este router, para eso lo tendremos que bajar y analizar que tipo de código es y en que lenguaje fue programado para saber si lo debemos de compilar, interpretar o ver como canijo lo ejecutaremos y usaremos.

Como podemos ver esta hecho en bash (#!/bin/bash) entonces ya sabemos como, para eso vamos y abrimos en Linux el Gedit y copiaremos ahí todo el código:

lo guardamos con un nombre que yo en este caso lo guardo con el nombre DSL.SH:

 Le daremos los permisos de ejecución para que podamos usarlo con el siguiente comando: 

 Ya que lo tenemos así, ahora vamos a checar si los permisos fueron cambiados con el comando:

 Y listo ahora si a ejecutar el pequeño exploit y veamos si funciona:

 Listo ahora si quedo ready to rock, jajajajjajaa sres. usenlo con moderación ok. 

lean el disclaimer por favor. 

SALUDOS

Li. Rodolfo Hernández Baz
www.rodolfohbaz.net
www.x25.org.mx


 

Si necesitan conferencias o workshops en sus universidades contactenme.