En las últimas horas hemos recibido decenas de
denuncias de usuarios de Arnet (Argentina) que no logran conectarse a Internet y que reciben el
mensaje de
"Su Internet está parcialmente bloqueada" cada vez que desean ingresar a un sitio web.
Como se puede ver, el bloqueo solicita el pago de U$S150 a través de
Bitcoin para realizar el desbloqueo. Lo primero que se debe hace es
NO se debe pagar.
El bloqueo se realiza independientemente del dispositivo y/o sistema
operativo utilizado (sucede lo mismo en Windows, Linux, iOS o Android)
por lo que inicialmente es de suponer que no se trata de un malware tipo
ransomware, como
supusimos al principio en nuestro Foro.
Aquí están los mismos problemas relacionados en una búsqueda en
Internet.
Luego de recibir correos y
Twits a @SeguInfo de varios afectados, todos coincidían en que el problema parecía generarse sólo en clientes de Arnet con un Modem ADSL modelos
"Zyxel P-660HW-T1" y
"Zyxel "P-660HNU-TX".
Adicionalmente muchos usuarios mencionan que el problema se
soluciona temporalmente cambiando los DNS por defecto a los de
Google (8.8.8.8 y 8.8.4.4), a los de
OpenDNS (208.67.222.222 y 208.67.220.220) a los de cualquier otra compañia. El problema reaparece luego de un corto lapso de tiempo.
Al parecer (no está confirmado) el bloqueo se origina luego de explotada una
vulnerabilidad de Cross-site Request Forgery (CSRF)
en los modems mencionados, pública desde mayo pasado y todavía sin
solución por parte de la empresa Zyxel. Es de suponer que los afectados
seguirán apareciendo, a medida que quien lo esté explotando vaya ganando
mayor cantidad de accesos (y Arnet no detenga el ataque).
Desde
Segu-Info recomendamos
NO pagar el rescate y
contactar a
Arnet
para que mitigue el problema hasta que la vulnerabilidad sea
solucionada completamente o bien que cambie el modem a todos los
clientes. Por otro lado recomendamos revisar y cambiar, en lo posible,
las configuraciones por defecto del modem, hasta que haya más
información al respecto. Es importante también considerar la posibilidad
de no utilizar el modem Wifi brindado por Arnet (o cualquier otra
compañia) para conectar todos los dispositivos del hogar a Internet,
agregando un Router Wifi para las conexiones internas y hacia
Internet.
Actualización 21:00: confirmado que las vulnerabilidades se encuentran los modems ADSL modelos
"Zyxel P-660HW-T1" y
"Zyxel "P-660HNU-TX" en la versión 3
utilizados por Arnet.
Por ahora Arnet no se ha pronunciado públicamente sobre el tema.
Actualización 21:30: Arnet confirmó el problema y
Banchiero nos informa
que en la "opción 11" de la configuración del modem es posible ver las
conexiones entrantes y salientes. Aquí se puede consultar el
manual.
Actualización 22:00: mientras tanto, los usuarios afectados pueden reiniciar al modem y cambiar los DNS por defecto a los mencionados más arriba y
realizar una renovación de la cache de DNS (DNSFlush) de la siguiente manera:
Windows:
ipconfig /flushdns
Linux:
sudo /etc/rc.d/init.d/nscd restart
Mac:
sudo killall -HUP mDNSResponder
Cristian de la Redacción de Segu-Info
