Routers de las marcas D-Link y Linksys están siendo víctimas de ataques de fuerza bruta y vulnerabilidades de día cero para acceder a la administración de los mismos y modificar los servidores DNS de la red, lo que permite a los atacantes redirigir dominios válidos a dominios maliciosos.
Los DNS maliciosos son los siguientes:
109.234.35.230
94.103.82.249
Los sitios afectados detectados hasta el momento son los siguientes:
- aws.amazon.com
- goog.gl
- bit.ly
- washington.edu
- imageshack.us
- ufl.edu
- disney.com
- cox.net
- xhamster.com
- pubads.g.doubleclick.net
- tidd.ly
- redditblog.com
- fiddler2.com
- winimage.com
Si el router se encuentra afectado por esta vulnerabilidad los sitios anteriormente mencionados desplegarán el siguiente mensaje y se descargará un archivo ejecutable:
MITIGACIÓN.
Formas de mitigar e impedir ser afectado por ésta vulnerabilidad:
- Actualizar firmware del router.
- Cambio de claves por defecto para acceso administrador del router.
- Revisar si el equipo tiene los DNS maliciosos mencionados anteriormente. De tenerlos asignados debe eliminarlos y dejar en blanco o reemplazar por los de Google:
- SI no posee acceso a la administración del router debe solicitarlos a su proveedor de internet o pedir a ellos que revisen los pasos antes mencionados.