Modem DSL compromesso?

7

Ho appena scoperto che il principale e amp; i server DNS secondari sono stati modificati in 95.211.156.101 & 5.45.75.11 .

Ho avuto il seguente setup in atto.

  • MAC filtering and WPA2 for WiFi.
  • Administrator password was left at default. (Suspect this was the loophole exploited. Clickjacking I bet?)
  • NAT & IPv4
  • All the Services were turned off for WAN side, including ICMP.
  • Only HTTP interface was turned-on for LAN side.
  • Two other windows laptops connect to the modem via WiFi. Used by old parents and kids. Probably the easiest targets. Scanned for virus/trojan. Nothing found.

Sarebbe utile conoscere i passi che dovrei fare per bloccare la rete da un nuovo compromesso. Inoltre, che tipo di perdita di dati avrebbe potuto aver luogo, oltre ai nomi DNS? Questi IP sono noti a chiunque?

EDIT:

Modem: DSL-2750U

Versione firmware: IN_1.10

    
posta saleem 14.12.2013 - 09:21
fonte

1 risposta

3

Molti modem DSL sono aperti dal lato WAN per l'utilizzo da parte delle aziende telefoniche (puoi provare a telnettere dal lato pallido e vedere se è aperto sul tuo modem, prova nome utente / passwors predefinito [1]), mentre avrebbe potuto essere l'ISP che ha modificato i server DNS sembra improbabile dal momento che gli IP non si trovano nello stesso intervallo.

Come hai detto tu, il vettore di intrusione più probabile è un semplice attacco di cross site scripting. Difendersi dagli XSS è generalmente difficile, in genere non c'è molto che un utente possa fare se non tenere aggiornato il browser. La modifica della password ovviamente respingerà la maggior parte di tali attacchi, ma ti lascerà vulnerabile mentre sei connesso al modem.

Lo scenario peggiore (probabilmente (?) con bassa probabilità) sarebbe un cambiamento del firmware del modem, ci sarebbe stato un tempo di inattività di pochi minuti al riavvio del modem. Quello che verrebbe lasciato in termini di perdita di dati è ipotizzato da chiunque, ma il caso peggiore teorico sarebbe compromettere tutto il traffico di rete che non è end-to-end crittografato con l'autenticazione dell'endpoint (come SSL).

La modifica dei server DNS di per sé avrebbe fatto trapelare tutte le richieste di nomi di domini non in cache a terze parti con il potenziale del proprietario del DNS di fornire falsi risultati DNS. (Dite ad esempio di fornire l'IP di fakebank.com quando avete richiesto l'IP di mybank.com, o semplicemente di darvi il sito giusto ma con pubblicità extra). Questo è uno scenario più probabile.

[1] link

    
risposta data 14.12.2013 - 23:46
fonte

Leggi altre domande sui tag