[uylug-varios] Experiencia con CERT.uy
Andres
forolinux at adinet.com.uy
Wed Jan 31 05:13:37 PST 2018
si es IP fijo seguro no usa login/pass para el enlace, es lo que
me estaba dando cuenta ahora, conectar un equipo de esos DVR directo
al Cisco que te dejan con la fibra o el router de cobre te deja más
que regalado, esos equipos DVR ni deberian incluir el pppoe para
evitar estos problemas, o de lo contrario incorporar su propio firewall.
> precisamente ayer revisando el log de secure encuentro un intento desde
> otro IP de anteldata : 167.61.104.101
>
> El nmap indicaba puertos 22, 23!!, 80, 8000,8001,8002 abiertos, 8888
> filtrado, en el 80 te aparece un login/password y camera(1~16)
> aparentemente de algun sistema DVR de 16 canales, por lo del puerto 23
> me suena a que es eso, asi que si ya les estan entrando a esos sistemas
> para hacer ssh a otros destinos esta complicado el tema, el 23 lo usan
> esos equipos para actualizar firmware y entrar al modo service en alguno
> que probé, quizas este directamente a la internet incluso con el usuario
> y pass del adsl por pppoe, fueron pocos intentos y ni llegue a reportar
> a cert.uy como hice la otra vez gracias a la recomendacion que dieron en
> el foro, de todas formas lo raro es que unas horas despues no respondia
> al nmap ni ping pero si seguia respondiendo en el 80 con el login/pass y
> camera(1~16), en este momento sigue respondiendo en el 80 pero no en
> nmap, probe con P0, sT, sS.
>
> En la url muestra \mobile.html, posiblemente la interfaz de login para
> teléfonos moviles.
>
> El filtrado del ssh segun origen del IP como habian comentado hace unos
> meses, si esto prolifera, ya deja de ser un elemento más en la cadena
> de seguridad, de todas formas siempre es conveniente no permitir login
> a root y/o utilizar las tecnicas que habian comentado creo que Carlos
> para la autenticación.
>
> A proposito, la gente del cert la otra vez no me brindo ninguna info
> del usuario al cual pertenecia ese IP, le envié copia del log, creo que
> deberian brindarte alguna información para poder verificar si hicieron
> su trabajo informandole al cliente del hackeo.
>
>
>
>> Hola,
>>
>> Siguiendo el ejemplo de Crisitian Menghi, encontré un problema de
>> seguridad en el router F660 y lo informé a cert.uy. Me contestaron, me
>> preguntaron si había contactado a Antel y, como no lo había hecho (fui
>> derecho a cert.uy), ellos sen encargaron de renviarlo y darle
>> seguimiento.
>>
>> Me pidieron algo más de información durante el proceso, la brindé y
>> ahora me avisaron que el tema fue resuelto. Y lo confirmé.
>>
>> Eso nada más, les recomiendo contactarlos si descubren algún problema de
>> seguridad en la red (hace poco habían comentado sobre un servidor
>> comprometido).
>>
>> Para los curiosos, el problema era que el gestor de UPNP contestaba por
>> internet en un puerto dinámico. No permitía hacer nada especial con los
>> mecanismos comunes, pero era bastante peligroso en caso de que hubiese
>> alguna falla en la implementación.
>>
>> Eduardo.
>>
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>>
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
More information about the Uylug-varios
mailing list