sábado, 22 de agosto de 2015

Clientes de VTR encuentran vulnerabilidad en routers Arris

Durante el transcurso de la semana recibimos información proveniente de hasta 3 clientes de VTR que señalaban tener problemas con su servicio de Internet y todo parece indicar que la fuente del problema estaría en el módem Arris que proporciona la empresa.

Según lo relatado por los usuarios, un malware afecta a todos los navegadores y dispositivos conectados a la red Wi-Fi porporcionada por el router, redireccionando a sitios de publicidad o colocando avisos a través de pop up, o contenido emergente, sin importar la página web a la que se tratase de acceder y por encima del contenido original de los sitios.

Posteriores averiguaciones llevaron a identificar que la fuente del problema estaría en la configuración de la dirección DNS del módem proporcionado como parte del servicio de Internet banda ancha de VTR. Aparentemente se trataría de un troyano llamado DNSChanger, muy activo entre 2007 y 2011, y al que daban por solucionado, pero otros sitios señalan que simplemente se ocultó y evolucionó.

Los usuarios que nos contactaron aseguran que al comunicarse con los técnicos de VTR les reconocieron que han estado recibiendo problemas similares al descrito durante toda la semana y como solución han reiniciado los routers afectados a su configuración de fábrica para recuperar la dirección DNS original, solución que es consistente con una encontrada por otro usuario que prefirió no contar con la asistencia de la empresa.

Nos comunicamos con VTR para obtener su versión de lo que estaba sucediendo y para pedirles información oficial sobre el troyano y las medidas que están adoptando para detenerlo e impedir que continúe afectando a más usuarios, y aunque admiten que hay una situación, no nos pudieron entregar más información de la que poseemos actualmente.

VTR nos aseguró que en el transcurso del fin de semana trabajarán para recopilar los datos pertinentes y tener una visión más clara del problema. Algo que parece estar sucediendo ya que según pudo comprobar uno de los usuarios, uno de los puntos de mayor vulnerabilidad de los módems de Arris, un algoritmo que cambia diariamente las claves de acceso remoto a las configuraciones de todos módems de Arris, ha sido reforzado aunque aún puede ser vulnerado. Esta vulnerabilidad es similar a la que encontramos a principios de año, ya que cualquier persona podría acceder a las configuraciones y realizar modificaciones con la misma autoridad con la que lo hacen los técnicos.

Por el momento no contamos con información de routers de otros fabricantes, ni de clientes de otras empresas proveedoras de Internet Banda Ancha Fija que presenten problemas similares. Ampliaremos según vayamos obteniendo más información respecto a este tema.

A continuación compartimos algunas capturas de pantalla de equipos infectados proporcionadas por Marcial Cabezas, periodista de Pisapapeles.net.

No hay comentarios:

Publicar un comentario