Los accesos por default a la hora de instalar un servicio de internet hogar o empresarial es un problema que afecta a miles de usuarios en Nicaragua, estos desconocen en realidad el peligro que conlleva "ese asunto que aparenta insignificancia".
Hace un tiempo hice un estudio sobre accesos por default a Módems de la compañia Claro Nicaragua en el cual se desmiente la teoría de los “hackeos a los modems durante las protestas de 2018” y demuestro que es un error de privacidad departe de quién instala el servicio.
VER: Módems de Claro Nicaragua, vistos en Internet y con Password por Default!
En este reporte se muestra el cómo varias compañías que provee internet en Nicaragua exponen a sus usuarios utilizando password por defaults en modems con acceso a internet.
El Ruckus Wireless serie R es un modem para conectarse a internet local e inalámbrica, el cual están utilizando diferentes proveedores para distribuir los servicios a sus clientes.
El Ruckus Wireless serie R es un modem para conectarse a internet local e inalámbrica, el cual están utilizando diferentes proveedores para distribuir los servicios a sus clientes.
En el análisis de datos recolectados por BEMBURN observamos 25 dispositivos con acceso desde WAN, no hay anda extraño aquí, el detalle es los accesos por default pueden ser encontrados en internet tan solo proporcionando la identificación del dispositivo, en este caso RUCKUS WIRELESS.
Teniendo acceso a este panel, realizamos una búsqueda en internet de claves por default por las que se obtiene acceso directo a la configuracion del dispositivo...
Una vez con las claves por default a mano, se procede a testearlas y verificar si existe acceso directo a la configuracion del RUCKUS WIRELESS AP...
Dentro del panel administrativo del dispositivo, se puede hacer varias cosas, iniciando por verificar quién es el usuario final del dispositivo a través las opciones de la configuracion...
Como se puede ver en la imagen, se puede determinar cuantos dispositivos estan conectados al servicio, asi tambien direccion MAC, IPv4 asignada, tipo de dispositivo conectado, etc.
Tambien se puede ver su configuracion de internet inalambrica donde se aprecia el nombre del usuario final (SSID), asi tambien su clave de seguridad para internet WiFi.
Cabe destacar que una de las cosas que probablemente se podria hacer es un DNS Spoofing donde por medio de cambiar los DNS, se puede redirigir las solicitudes de tráfico de la red hacia un DNS malicioso.
¿Como funciona un ataque DNS Spoofing?
2.- Cuando el DNS recibe la solicitud (Ejemplo:facebook.com), el DNS redirije al sitio certfificado.
3.- Se ingresan los datos de acceso y se navega en el sitio destino sin complicaciones...
ATAQUE EN ACCIÓN
Al hacer cambios de los DNS en el modem Ruckus por unos DNS maliciosos, el proceso es el mismo descrito anteriormente, pero la variante es que el atacante controla todas las solicitudes de navegacion que existen en la red interna, y en este punto se puede monitorear el trafico y mediante esto generar diferentes sitios maliciosos de internet y tener acceso a claves de usuarios y contraseñas importantes como por ejemplo:
- Claves de tipo Bancarias
- Accesos a Redes Sociales
- Cuentas externas de administracion
- Claves de sitios de trabajo
- Acceso a correos electrónicos
- Acceso a paneles administrativos
- etc...
Con este tipo de ataque son muchas las empresas y personas que estan expuestas a ser victimas de robo, y es importante proteger la integridad de los datos que se manejan dentro de una red.
Entre los diferente usuarios de internet con este dispositivo asignado se encuentran:
En el estudio realizado, entre las organizaciones naturales y jurídicas que damos por válidas como afectadas se encuentran:
- IALSA Comunicaciones
- Sharon Nicaragua
- Makiber Nicaragua
- Zona Deportiva Linda Vista
- Hotel Casa Pilar
- Malibú TK
- El Establo
- ALMIR
- UENIC
- Zona Deportiva Leon
- FIDESCAMINA
- Familia Urbina Orozco
- Salon Diplomado UCA
- Tecnoconfer SA
Es importante para naturales como jurídicos implementar protocolos de seguridad lo antes posible, principalmente porque estan en la mira de ataques inmediatos como RANSOMWARE que a través de tecnicas complejas para aquellos que no dominan el tema, saldra muy pero muy costoso para estos.
Para mayor informacion sobre como resguardarse de este y otros tipos de ataques así como la implementación de protocolos de seguridad puede entrar en contacto directo con nosotros.
Email: exploit505@gmail.com
Twitter: @NCAIntelligence
Facebook: @NCAIntelligence