[uylug-varios] Experiencia con CERT.uy

Andres forolinux at adinet.com.uy
Wed Jan 31 05:06:45 PST 2018 

precisamente ayer revisando el log de secure encuentro un intento desde 
otro IP de anteldata : 167.61.104.101

El nmap indicaba puertos 22, 23!!, 80, 8000,8001,8002 abiertos, 8888 
filtrado, en el 80 te aparece un login/password y camera(1~16) 
aparentemente de algun sistema DVR de 16 canales, por lo del puerto 23 
me suena a que es eso, asi que si ya les estan entrando a esos sistemas 
para hacer ssh a otros destinos esta complicado el tema, el 23 lo usan 
esos equipos para actualizar firmware y entrar al modo service en alguno 
que probé, quizas este directamente a la internet incluso con el usuario 
y pass del adsl por pppoe, fueron pocos intentos y ni llegue a reportar 
a cert.uy como hice la otra vez gracias a la recomendacion que dieron en 
el foro, de todas formas lo raro es que unas horas despues no respondia 
al nmap ni ping pero si seguia respondiendo en el 80 con el login/pass y 
camera(1~16), en este momento sigue respondiendo en el 80 pero no en
nmap, probe con P0, sT, sS.

En la url muestra \mobile.html, posiblemente la interfaz de login para 
teléfonos moviles.

El filtrado del ssh segun origen del IP como habian comentado hace unos
meses, si esto prolifera, ya deja de ser un elemento más en la cadena
de seguridad, de todas formas siempre es conveniente no permitir login
a root y/o utilizar las tecnicas que habian comentado creo que Carlos
para la autenticación.

A proposito, la gente del cert la otra vez no me brindo ninguna info
del usuario al cual pertenecia ese IP, le envié copia del log, creo que 
deberian brindarte alguna información para poder verificar si hicieron 
su trabajo informandole al cliente del hackeo.



> Hola,
> 
> Siguiendo el ejemplo de Crisitian Menghi, encontré un problema de
> seguridad en el router F660 y lo informé a cert.uy. Me contestaron, me
> preguntaron si había contactado a Antel y, como no lo había hecho (fui
> derecho a cert.uy), ellos sen encargaron de renviarlo y darle seguimiento.
> 
> Me pidieron algo más de información durante el proceso, la brindé y
> ahora me avisaron que el tema  fue resuelto. Y lo confirmé.
> 
> Eso nada más, les recomiendo contactarlos si descubren algún problema de
> seguridad en la red (hace poco habían comentado sobre un servidor
> comprometido).
> 
> Para los curiosos, el problema era que el gestor de UPNP contestaba por
> internet en un puerto dinámico. No permitía hacer nada especial con los
> mecanismos comunes, pero era bastante peligroso en caso de que hubiese
> alguna falla en la implementación.
> 
> Eduardo.
> 
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>

More information about the Uylug-varios mailing list