22 jul. 2014

Mensaje "Su Internet está parcialmente bloqueada" en Modem Zyxel de Arnet

Actualizado el 24/07 a las 20hs con la solución temporal del problema.

En las últimas horas hemos recibido decenas de denuncias de usuarios de Arnet (Argentina) que no logran conectarse a Internet y que reciben el mensaje de "Su Internet está parcialmente bloqueada" cada vez que desean ingresar a un sitio web.
 Como se puede ver, el bloqueo solicita el pago de U$S150 a través de Bitcoin para realizar el desbloqueo. Lo primero que se debe hace es NO se debe pagar.

El bloqueo se realiza independientemente del dispositivo y/o sistema operativo utilizado (sucede lo mismo en Windows, Linux, iOS o Android) por lo que inicialmente es de suponer que no se trata de un malware tipo ransomware, como supusimos al principio en nuestro Foro. Aquí están los mismos problemas relacionados en una búsqueda en Internet.

Luego de recibir correos y Twits a @SeguInfo de varios afectados, todos coincidían en que el problema parecía generarse sólo en clientes de Arnet con un Modem ADSL modelos "Zyxel P-660HW-T1" y "Zyxel "P-660HNU-TX".

Adicionalmente muchos usuarios mencionan que el problema se soluciona temporalmente cambiando los DNS por defecto a los de Google (8.8.8.8 y 8.8.4.4), a los de OpenDNS (208.67.222.222 y 208.67.220.220) a los de cualquier otra compañia. El problema reaparece luego de un corto lapso de tiempo.

Al parecer (no está confirmado) el bloqueo se origina luego de explotada una vulnerabilidad de Cross-site Request Forgery (CSRF) en los modems mencionados, pública desde mayo pasado y todavía sin solución por parte de la empresa Zyxel. Es de suponer que los afectados seguirán apareciendo, a medida que quien lo esté explotando vaya ganando mayor cantidad de accesos (y Arnet no detenga el ataque).

Desde Segu-Info recomendamos NO pagar el rescate y contactar a Arnet para que mitigue el problema hasta que la vulnerabilidad sea solucionada completamente o bien que cambie el modem a todos los clientes. Por otro lado recomendamos revisar y cambiar, en lo posible, las configuraciones por defecto del modem, hasta que haya más información al respecto. Es importante también considerar la posibilidad de no utilizar el modem Wifi brindado por Arnet (o cualquier otra compañia) para conectar todos los dispositivos del hogar a Internet, agregando un Router Wifi para las conexiones internas y hacia Internet.

Actualización 21:00: confirmado que las vulnerabilidades se encuentran los modems ADSL modelos "Zyxel P-660HW-T1" y "Zyxel "P-660HNU-TX" vertical y en la versión 3 utilizados por Arnet. Por ahora Arnet no se ha pronunciado públicamente sobre el tema.

Actualización 21:30: Arnet confirmó el problema y Banchiero nos informa que en la "opción 11" de la configuración del modem es posible ver las conexiones entrantes y salientes. Aquí se puede consultar el manual.

Actualización 22:00: mientras tanto, los usuarios afectados pueden reiniciar al modem y cambiar los DNS por defecto a los mencionados más arriba y realizar una renovación de la cache de DNS (DNSFlush) de la siguiente manera:

Windows:
ipconfig /flushdns

Linux:
sudo /etc/rc.d/init.d/nscd restart

Mac:
sudo killall -HUP mDNSResponder

Android:
http://fandroides.com/como-cambiar-automaticamente-los-dns-en-android/

iOS/iPhone/iPad:
http://www.macinstruct.com/node/558

Actualización 23/07 13:00: finalmente se ha confirmado que se trata de un ataque DNS Cache Poisoning a los servidores DNS de Arnet y mediante el cual se ha explotado la vulnerabilidad mencionada en los modelos de Modem Zyxel. Mediante la creación de un servicio HTTP, se redirige al usuario a la página del rescate que se muestra. Por ahora la página sólo parece pedir el rescate por dinero, pero se podría realizar cualquier otro tipo de ataque más activo, incluyendo redirección de usuarios, descarga de malware, robo de información, etc.

Actualización 23/07 22:00: al parecer Arnet ha soluciondo el problema y recomiendan reiniciar el modem para que todo vuelva a la normalidad.

Actualización 24/07 16:00: según informan varios usuarios, el problema continua y la empresa Arnet está trabajando en el caso activamente, por ahora con soluciones parciales.

Actualización 24/07 18:00: varias fuentes confirman que el ataque al modem modifica el Primary DNS Server y/o Secundary DNS Server a la IP 46.244.XX.19.

Actualización 24/07 20:00: alguien de Arnet (que ha solicitado anonimato) ha tenido la amabilidad de facilitarnos una solución temporal, por lo menos hasta que la empresa haga oficial el problema y decida proceder de acuerdo a lo que corresponde para proteger de forma adecuada a sus usuarios.

Nota: Segu-Info no se responsabiliza de este tutorial y de las consecuencias que el mismo pueda generar en la conexión del cliente.
  1. Antes se debe resetear el módem. En el orificio que esta en la parte superior introducir un escarbadientes y presionar el botón interno al menos 10 segundos, esperar a que el modem conecte.
  2. Abrir el navegador e ingresar a http://192.168.1.1/admin.html (cambiar la IP en caso de ser necesario).
    • User name: admin (en minúsculas)
    • Password: CalVxePV1! (respetar mayúsculas)
  3. Seleccionar Go to Advanced Setup, luego Apply. Aparece la gestión del modem como Administrador.
  4. En el menú de la izquierda seleccionamos Network y luego WAN. Verificar quen en la tercera opción del menú DNS Server este marcada la opción "Obtained from ISP" tanto en "Primary DNS" como en "Secundary DNS". En el caso de realizar algún cambio, seleccionar Apply.
  5. Seleccionar Network y luego LAN. Seleccionar la solapa DHCP Server y en la opción de Primary DNS Server y Secundary DNS Server deben colocarse el valor "0.0.0.0". Si figuran valores distintos, (como por ej. 46.244.XX.19) significa que el ataque modificó la IP de los DNS Server. Corregir y seleccionar Apply.
  6. Seleccionar Security y luego Firewall: activar el Firewall a nivel Medium. Al parecer al activar al Firewall, el ataque no se vuelve a producir.
  7. Presionar Apply y luego Logout arriba a la derecha. Reiniciar el modem nuevamente desde el botón.
  8. Si todo salió bien no debería presentarse el problema nuevamente. 

Actualización 25/07 18:00: el problema parece definitivamente solucionado.
Cristian de la Redacción de Segu-Info

35 comentarios:

  1. mil gracias. solucione con vuestra ayuda. son unos genios

    ResponderEliminar
  2. A mi me paso lo mismo... después de formatear la PC y ver que el problema seguía ( ya me estaba asustando ) lo que hice fue resear el modem Zyxel y por ahora se soluciono el problema

    ResponderEliminar
  3. En mi telefono sony con android no puedo solucionarlo tienen algun dato mas?

    ResponderEliminar
    Respuestas
    1. Mariano, hemos agregado p/hacer el cambio en Android y iPhone. De todos modos la solucion debería vener desde el proveedor.

      Cristian

      Eliminar
    2. Exelente cristian muchas gracias igualmente aun no puedo cambiarlas ya que no soy usuario root y me asusta un poco

      Eliminar
    3. Bajate el dnset del market de google (te cambia x las google dns).saludos

      Eliminar
  4. Hola,muy buena info. Queria consultar cuales son los riesgos. Realmente pueden filtrar informacion? Yo me di con este problema y me empece a conectar con el celu nada mas con mi paquete de datos.
    Es realmente una amenaza a nuestra privacidad o solo una molestia.


    saludos y felicidades x el blog.

    ResponderEliminar
    Respuestas
    1. Es un ataque dns posoning a los servidores dns de arnet que explota una vulnerabilidad presente en algunos modelos de modem zyxel para ello el exploit crea servicios http/udp en el modem para redirigir la peticion y mostrar dicha pagina la cual es falsa y no hace daño alguno (mientra solo la mires :)) saludos.

      Eliminar
  5. Tengo el router Zyxel y navego normalmente por internet con la PCy las redes pero tengo problemas con los celulares Samsung que funcionan parcialmente (los Correos y Watshap andan):No se recargan las paginas Facebook ni Twitter. No puedo leer las noticias de diarios,etc.
    Como soluciono el problema de los celulares???

    ResponderEliminar
    Respuestas
    1. Comunicate con el proveedor, ellos deben solucionar el problema.

      Cristian

      Eliminar
  6. Bien . Mirando por ahi hay casos de modem q crean una entrada a servicio http por cada ip de dispositivo conectado a la red . de ese modo direccionan su pagina a todas las coexxiones del ap ? .. pero pueden tener otro fiin ? botnet? Sniffing?. Por ahi lei q tambien usan este metodo para determinar idioma a mostrar en la pagina . todavia no lo arreglan ... me quedan muchas dudas y pocas certezas . Saludos Hector.

    ResponderEliminar
  7. Ya esta solucionado el inconveniente (segun arnet en facebook) y recomiendan reiniciar el modem en donde la falla aun persista. Saludos. Hector.

    ResponderEliminar
    Respuestas
    1. Reinicie el modem y me vuelve el problema. Sigue sin solución. Saludos. Silvana

      Eliminar
  8. No tengo un Zyxel para probar :(

    Alguien probó actualizando o cambiando a otro Firmware ?

    http://www.zyxel.com/osearch/dl-search.aspx?mci_country=us&mci_lang=en&keyword=660HW&submit=Search

    ResponderEliminar
    Respuestas
    1. El domingo llame a Arnet por problemas con los DNS (aún sin este problema) y me pidieron resetee el módem, debido a q habían actualizado los firmware en esos routers. Al día siguiente (lunes) comencé a ver este problema. (Por lo q estimo hay relación o ellos ya probaron algo) saludos.

      Eliminar
    2. Yo también comencé con el problema el lunes. Reinicié varias veces el modem pero el problema continuo. Finalmente logré que me atendieran en Arnet pero solo me dijeron que debo esperar otras 72 hs. Zipriano

      Eliminar
    3. Yo también comencé con el problema el lunes. Reinicié varias veces el modem pero el problema continuo. Finalmente logré que me atendieran en Arnet pero solo me dijeron que debo esperar otras 72 hs. Zipriano

      Eliminar
    4. Yo también comencé con el problema el lunes. Reinicié varias veces el modem pero el problema continuo. Finalmente logré que me atendieran en Arnet pero solo me dijeron que debo esperar otras 72 hs. Zipriano

      Eliminar
  9. En mi celular aparece el mismo mj y no puedo solucionar, que hago?

    ResponderEliminar
  10. Uso la señal de wifi de mi casa y en mi celular apareció ese bloqueo cuando quise usar google...De la compu pude solucionar pero del celular no.... Que puedo hacer?

    ResponderEliminar
  11. A los usuarios de arnet q tengan dicho modem deben solicitar SU INMEDIATO RECAMBIO o en su defecto reemplazarlo urgente de manera particular POR OTRO MODELO . El firmware de esos modems es una verdadera bomba de tiempo. No lo van a solucionar parcheando soft. Saludos Hector.

    ResponderEliminar
  12. en mi caso se soluciono solo. debo hacer algo? tendrá alguna consecuencia o simplemente vuelvo a usar internet como antes?

    ResponderEliminar
  13. Siendo las 01:08 EL PROBLEMA PERSISTE . Para salir del paso :
    En PC : cambiar por DNS de google 8.8.8.8 y/o 8.8.4.4
    En Android : bajar dnset del play store y activarlo
    Saludos. Hector

    ResponderEliminar
  14. La solución del reseteo es temporal. El problema luego vuelve. ARNET nunca soluciona nada. Lamentablemente es lo que hay. Si el problema es con esos modem, ARNET debería cambiarlos por otros. Luego veremos.

    ResponderEliminar
  15. Ya reinicié mi P-660HNU-T1 pero a los 10 minutos nuevamente comenzó el problema! Tuve que volver a colocar los DNS de Google...
    P/D Arnet NO quiere hacer el cambio de modem...

    ResponderEliminar
  16. Por lo q estube viendo una posible solucion es cambiar el puerto de acceso http del modem en la parte admin en la opcion Advanced----> Remote MGMT
    Server Port esta en 80 puse uno alto (6754) y estoy probando asi, no creo q se pueda solucionar sin cambiar el modem...

    ResponderEliminar
  17. Habria que probar con el firmware original de Zyxel: ftp://ftp.zyxel.com/P-660HNU-T1/firmware/

    ResponderEliminar
  18. HOLA A TODOS ... ESTA LISTA LA SOLUCION A ESTE PROBLEMA !!!
    NO ESCRIBO COMO HACERLO PARA QUE NO VUELVAN A HACKER LA SOLUCION .
    ( ESTOS LOCOS SON MUY HDP Y SON DATOS INTERNOS DE TU MODEM)
    LLAMEN AL 08005559999 DE ARNET ... (TENGAN PACIENCIA , HASTA QUE SE COMUNIQUEN , YO TRADE COMO 15 O 20 MINUTOS CON LA MUSIQUITA PERO ME ATENDIERON) Y DESDE AHI LE DIRAN QUE NUMEROS CAMBIAR EN LOS DNS INTERNOS DEL ROUTER ... Y ESTA LISTA LA SOLUCION. LOS DNS 8.8.8.8 y 8.8.8.4 SON MOMENTANEOS Y EL VIRUS VUELVE A ATACAR ... LLAMEN Y TENGAN LA PC AL FRENTE DEL TELEFONO PARA CONFIGURARLA. SALUDOS

    ResponderEliminar
  19. Cerrar el puerto 5555/upnp

    ResponderEliminar
  20. Esta mañana me comunique con los chicos del call, me informaron que NO van a reemplazar los Modems y q estan trabajando en la solución.
    Pueden hacer el up-grade del firmware remoto...no me lo confirmaron.

    Habra que esperar. Seguramente lo van a solucionar.

    ResponderEliminar
  21. Excelente la solucion de activar el Firewall a Medium en el router. La conexion esta normal desde ayer.

    Ojala se utilizara un 5% del tiempo perdido en hacer daño en algo productivo.
    Por suerte siempre hay gente como en este caso que AISLA a los pelotudos con soluciones.

    Felicitaciones!!!!

    ResponderEliminar
  22. Agrego algo que sirve para este caso y para cualquier otro.

    *** Como Verificar la seguridad del router de acceso a Internet ***
    *** (cualquier marca, modelo e ISP) ***

    Un sitio reconocido que permite verificar que NO tenemos puertos expuestos a Internet en nuestro router es: Shields UP!

    -Ingresar a https://www.grc.com/

    -En el menú Services (arriba a la izquierda) elegir Shields UP!!

    -en la pagina que aparece pulsar el botón Proceed

    -luego hacer los test.
    Recomiendo hacer todos (File sharing, Common Ports, All services).
    Incluso el nuevo test GRC's Instant UPnP Exposure Test (no se ve en el video)

    Video de como se usa y los resultados:
    https://www.youtube.com/watch?v=tFo1vWgJ9ro

    Periódicamente uno debería verificar que nada ha cambiado.

    Slds.
    Raúl

    ResponderEliminar
  23. se me cambio el nombre de la red "wifi-arnet-m162" pero se cambio la contraseña con la cual entraba

    ResponderEliminar
  24. Otra solucion q hasta ahora me funciono es deshabilitar los acceso adicionales del modem solo dejar el http en la parte de admin---> advance--->Remote MGMT
    deshabilitar telenet ftp dns snmp icmp ssh.- el ataque del exploit puede venir por telnet o ssh asi q si bloqueamos eso no tendria q pasar, desde ayer q no se bloqueo de nuevo sin tocar la parte de firewall

    ResponderEliminar
  25. Aparentemente el problema esta solucionado desde el viernes a la noche, ya que no hice ninguna modificacion en mi modem y arnet volvio a estar operativo 100%.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!