[uylug-varios] Experiencia con CERT.uy

Andres forolinux at adinet.com.uy
Wed Jan 31 05:13:37 PST 2018 

si es IP fijo seguro no usa login/pass para el enlace, es lo que
me estaba dando cuenta ahora, conectar un equipo de esos DVR directo
al Cisco que te dejan con la fibra o el router de cobre te deja más
que regalado, esos equipos DVR ni deberian incluir el pppoe para
evitar estos problemas, o de lo contrario incorporar su propio firewall.



> precisamente ayer revisando el log de secure encuentro un intento desde 
> otro IP de anteldata : 167.61.104.101
> 
> El nmap indicaba puertos 22, 23!!, 80, 8000,8001,8002 abiertos, 8888 
> filtrado, en el 80 te aparece un login/password y camera(1~16) 
> aparentemente de algun sistema DVR de 16 canales, por lo del puerto 23 
> me suena a que es eso, asi que si ya les estan entrando a esos sistemas 
> para hacer ssh a otros destinos esta complicado el tema, el 23 lo usan 
> esos equipos para actualizar firmware y entrar al modo service en alguno 
> que probé, quizas este directamente a la internet incluso con el usuario 
> y pass del adsl por pppoe, fueron pocos intentos y ni llegue a reportar 
> a cert.uy como hice la otra vez gracias a la recomendacion que dieron en 
> el foro, de todas formas lo raro es que unas horas despues no respondia 
> al nmap ni ping pero si seguia respondiendo en el 80 con el login/pass y 
> camera(1~16), en este momento sigue respondiendo en el 80 pero no en
> nmap, probe con P0, sT, sS.
> 
> En la url muestra \mobile.html, posiblemente la interfaz de login para 
> teléfonos moviles.
> 
> El filtrado del ssh segun origen del IP como habian comentado hace unos
> meses, si esto prolifera, ya deja de ser un elemento más en la cadena
> de seguridad, de todas formas siempre es conveniente no permitir login
> a root y/o utilizar las tecnicas que habian comentado creo que Carlos
> para la autenticación.
> 
> A proposito, la gente del cert la otra vez no me brindo ninguna info
> del usuario al cual pertenecia ese IP, le envié copia del log, creo que 
> deberian brindarte alguna información para poder verificar si hicieron 
> su trabajo informandole al cliente del hackeo.
> 
> 
> 
>> Hola,
>>
>> Siguiendo el ejemplo de Crisitian Menghi, encontré un problema de
>> seguridad en el router F660 y lo informé a cert.uy. Me contestaron, me
>> preguntaron si había contactado a Antel y, como no lo había hecho (fui
>> derecho a cert.uy), ellos sen encargaron de renviarlo y darle 
>> seguimiento.
>>
>> Me pidieron algo más de información durante el proceso, la brindé y
>> ahora me avisaron que el tema  fue resuelto. Y lo confirmé.
>>
>> Eso nada más, les recomiendo contactarlos si descubren algún problema de
>> seguridad en la red (hace poco habían comentado sobre un servidor
>> comprometido).
>>
>> Para los curiosos, el problema era que el gestor de UPNP contestaba por
>> internet en un puerto dinámico. No permitía hacer nada especial con los
>> mecanismos comunes, pero era bastante peligroso en caso de que hubiese
>> alguna falla en la implementación.
>>
>> Eduardo.
>>
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>>
> 
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>

More information about the Uylug-varios mailing list