Mensaje "Su Internet está parcialmente bloqueada" en Modem Zyxel de Arnet
Actualizado el 24/07 a las 20hs con la solución temporal del problema.
En las últimas horas hemos recibido decenas de denuncias de usuarios de Arnet (Argentina) que no logran conectarse a Internet y que reciben el mensaje de "Su Internet está parcialmente bloqueada" cada vez que desean ingresar a un sitio web.Como se puede ver, el bloqueo solicita el pago de U$S150 a través de Bitcoin para realizar el desbloqueo. Lo primero que se debe hace es NO se debe pagar.
El bloqueo se realiza independientemente del dispositivo y/o sistema operativo utilizado (sucede lo mismo en Windows, Linux, iOS o Android) por lo que inicialmente es de suponer que no se trata de un malware tipo ransomware, como supusimos al principio en nuestro Foro. Aquí están los mismos problemas relacionados en una búsqueda en Internet.
Luego de recibir correos y Twits a
Adicionalmente muchos usuarios mencionan que el problema se soluciona temporalmente cambiando los DNS por defecto a los de Google (8.8.8.8 y 8.8.4.4), a los de OpenDNS (208.67.222.222 y 208.67.220.220) a los de cualquier otra compañia. El problema reaparece luego de un corto lapso de tiempo.
Al parecer (no está confirmado) el bloqueo se origina luego de explotada una vulnerabilidad de Cross-site Request Forgery (CSRF) en los modems mencionados, pública desde mayo pasado y todavía sin solución por parte de la empresa Zyxel. Es de suponer que los afectados seguirán apareciendo, a medida que quien lo esté explotando vaya ganando mayor cantidad de accesos (y Arnet no detenga el ataque).
Desde Segu-Info recomendamos NO pagar el rescate y contactar a Arnet para que mitigue el problema hasta que la vulnerabilidad sea solucionada completamente o bien que cambie el modem a todos los clientes. Por otro lado recomendamos revisar y cambiar, en lo posible, las configuraciones por defecto del modem, hasta que haya más información al respecto. Es importante también considerar la posibilidad de no utilizar el modem Wifi brindado por Arnet (o cualquier otra compañia) para conectar todos los dispositivos del hogar a Internet, agregando un Router Wifi para las conexiones internas y hacia Internet.
Actualización 21:00: confirmado que las vulnerabilidades se encuentran los modems ADSL modelos "Zyxel P-660HW-T1" y "Zyxel "P-660HNU-TX" vertical y en la versión 3 utilizados por Arnet.
Actualización 21:30: Arnet confirmó el problema y Banchiero nos informa que en la "opción 11" de la configuración del modem es posible ver las conexiones entrantes y salientes. Aquí se puede consultar el manual.
Actualización 22:00: mientras tanto, los usuarios afectados pueden reiniciar al modem y cambiar los DNS por defecto a los mencionados más arriba y realizar una renovación de la cache de DNS (DNSFlush) de la siguiente manera:
Windows:
ipconfig /flushdns
Linux:
sudo /etc/rc.d/init.d/nscd restart
Mac:
sudo killall -HUP mDNSResponder
Android:
http://fandroides.com/como-cambiar-automaticamente-los-dns-en-android/
iOS/iPhone/iPad:
http://www.macinstruct.com/node/558
Actualización 23/07 13:00:
Actualización 23/07 22:00:
Actualización 24/07 16:00: según informan varios usuarios, el problema continua y la empresa Arnet está trabajando en el caso activamente, por ahora con soluciones parciales.
Actualización 24/07 18:00: varias fuentes confirman que el ataque al modem modifica el Primary DNS Server y/o Secundary DNS Server a la IP 46.244.XX.19.
Actualización 24/07 20:00: alguien de Arnet (que ha solicitado anonimato) ha tenido la amabilidad de facilitarnos una solución temporal, por lo menos hasta que la empresa haga oficial el problema y decida proceder de acuerdo a lo que corresponde para proteger de forma adecuada a sus usuarios.
Nota: Segu-Info no se responsabiliza de este tutorial y de las consecuencias que el mismo pueda generar en la conexión del cliente.
- Antes se debe resetear el módem. En el orificio que esta en la parte superior introducir un escarbadientes y presionar el botón interno al menos 10 segundos, esperar a que el modem conecte.
- Abrir el navegador e ingresar a http://192.168.1.1/admin.html (cambiar la IP en caso de ser necesario).
- User name: admin (en minúsculas)
- Password: CalVxePV1! (respetar mayúsculas)
- Seleccionar Go to Advanced Setup, luego Apply. Aparece la gestión del modem como Administrador.
- En el menú de la izquierda seleccionamos Network y luego WAN. Verificar quen en la tercera opción del menú DNS Server este marcada la opción "Obtained from ISP" tanto en "Primary DNS" como en "Secundary DNS". En el caso de realizar algún cambio, seleccionar Apply.
- Seleccionar Network y luego LAN. Seleccionar la solapa DHCP Server y en la opción de Primary DNS Server y Secundary DNS Server deben colocarse el valor "0.0.0.0". Si figuran valores distintos, (como por ej. 46.244.XX.19) significa que el ataque modificó la IP de los DNS Server. Corregir y seleccionar Apply.
- Seleccionar Security y luego Firewall: activar el Firewall a nivel Medium. Al parecer al activar al Firewall, el ataque no se vuelve a producir.
- Presionar Apply y luego Logout arriba a la derecha. Reiniciar el modem nuevamente desde el botón.
- Si todo salió bien no debería presentarse el problema nuevamente.
Actualización 25/07 18:00: el problema parece definitivamente solucionado.
mil gracias. solucione con vuestra ayuda. son unos genios
ResponderBorrarA mi me paso lo mismo... después de formatear la PC y ver que el problema seguía ( ya me estaba asustando ) lo que hice fue resear el modem Zyxel y por ahora se soluciono el problema
ResponderBorrarEn mi telefono sony con android no puedo solucionarlo tienen algun dato mas?
ResponderBorrarMariano, hemos agregado p/hacer el cambio en Android y iPhone. De todos modos la solucion debería vener desde el proveedor.
BorrarCristian
Exelente cristian muchas gracias igualmente aun no puedo cambiarlas ya que no soy usuario root y me asusta un poco
BorrarBajate el dnset del market de google (te cambia x las google dns).saludos
BorrarHola,muy buena info. Queria consultar cuales son los riesgos. Realmente pueden filtrar informacion? Yo me di con este problema y me empece a conectar con el celu nada mas con mi paquete de datos.
ResponderBorrarEs realmente una amenaza a nuestra privacidad o solo una molestia.
saludos y felicidades x el blog.
Es un ataque dns posoning a los servidores dns de arnet que explota una vulnerabilidad presente en algunos modelos de modem zyxel para ello el exploit crea servicios http/udp en el modem para redirigir la peticion y mostrar dicha pagina la cual es falsa y no hace daño alguno (mientra solo la mires :)) saludos.
BorrarTengo el router Zyxel y navego normalmente por internet con la PCy las redes pero tengo problemas con los celulares Samsung que funcionan parcialmente (los Correos y Watshap andan):No se recargan las paginas Facebook ni Twitter. No puedo leer las noticias de diarios,etc.
ResponderBorrarComo soluciono el problema de los celulares???
Comunicate con el proveedor, ellos deben solucionar el problema.
BorrarCristian
Bien . Mirando por ahi hay casos de modem q crean una entrada a servicio http por cada ip de dispositivo conectado a la red . de ese modo direccionan su pagina a todas las coexxiones del ap ? .. pero pueden tener otro fiin ? botnet? Sniffing?. Por ahi lei q tambien usan este metodo para determinar idioma a mostrar en la pagina . todavia no lo arreglan ... me quedan muchas dudas y pocas certezas . Saludos Hector.
ResponderBorrarYa esta solucionado el inconveniente (segun arnet en facebook) y recomiendan reiniciar el modem en donde la falla aun persista. Saludos. Hector.
ResponderBorrarReinicie el modem y me vuelve el problema. Sigue sin solución. Saludos. Silvana
BorrarNo tengo un Zyxel para probar :(
ResponderBorrarAlguien probó actualizando o cambiando a otro Firmware ?
http://www.zyxel.com/osearch/dl-search.aspx?mci_country=us&mci_lang=en&keyword=660HW&submit=Search
El domingo llame a Arnet por problemas con los DNS (aún sin este problema) y me pidieron resetee el módem, debido a q habían actualizado los firmware en esos routers. Al día siguiente (lunes) comencé a ver este problema. (Por lo q estimo hay relación o ellos ya probaron algo) saludos.
BorrarYo también comencé con el problema el lunes. Reinicié varias veces el modem pero el problema continuo. Finalmente logré que me atendieran en Arnet pero solo me dijeron que debo esperar otras 72 hs. Zipriano
BorrarYo también comencé con el problema el lunes. Reinicié varias veces el modem pero el problema continuo. Finalmente logré que me atendieran en Arnet pero solo me dijeron que debo esperar otras 72 hs. Zipriano
BorrarYo también comencé con el problema el lunes. Reinicié varias veces el modem pero el problema continuo. Finalmente logré que me atendieran en Arnet pero solo me dijeron que debo esperar otras 72 hs. Zipriano
BorrarEn mi celular aparece el mismo mj y no puedo solucionar, que hago?
ResponderBorrarUso la señal de wifi de mi casa y en mi celular apareció ese bloqueo cuando quise usar google...De la compu pude solucionar pero del celular no.... Que puedo hacer?
ResponderBorrarA los usuarios de arnet q tengan dicho modem deben solicitar SU INMEDIATO RECAMBIO o en su defecto reemplazarlo urgente de manera particular POR OTRO MODELO . El firmware de esos modems es una verdadera bomba de tiempo. No lo van a solucionar parcheando soft. Saludos Hector.
ResponderBorraren mi caso se soluciono solo. debo hacer algo? tendrá alguna consecuencia o simplemente vuelvo a usar internet como antes?
ResponderBorrarSiendo las 01:08 EL PROBLEMA PERSISTE . Para salir del paso :
ResponderBorrarEn PC : cambiar por DNS de google 8.8.8.8 y/o 8.8.4.4
En Android : bajar dnset del play store y activarlo
Saludos. Hector
La solución del reseteo es temporal. El problema luego vuelve. ARNET nunca soluciona nada. Lamentablemente es lo que hay. Si el problema es con esos modem, ARNET debería cambiarlos por otros. Luego veremos.
ResponderBorrarYa reinicié mi P-660HNU-T1 pero a los 10 minutos nuevamente comenzó el problema! Tuve que volver a colocar los DNS de Google...
ResponderBorrarP/D Arnet NO quiere hacer el cambio de modem...
Habria que probar con el firmware original de Zyxel: ftp://ftp.zyxel.com/P-660HNU-T1/firmware/
ResponderBorrarHOLA A TODOS ... ESTA LISTA LA SOLUCION A ESTE PROBLEMA !!!
ResponderBorrarNO ESCRIBO COMO HACERLO PARA QUE NO VUELVAN A HACKER LA SOLUCION .
( ESTOS LOCOS SON MUY HDP Y SON DATOS INTERNOS DE TU MODEM)
LLAMEN AL 08005559999 DE ARNET ... (TENGAN PACIENCIA , HASTA QUE SE COMUNIQUEN , YO TRADE COMO 15 O 20 MINUTOS CON LA MUSIQUITA PERO ME ATENDIERON) Y DESDE AHI LE DIRAN QUE NUMEROS CAMBIAR EN LOS DNS INTERNOS DEL ROUTER ... Y ESTA LISTA LA SOLUCION. LOS DNS 8.8.8.8 y 8.8.8.4 SON MOMENTANEOS Y EL VIRUS VUELVE A ATACAR ... LLAMEN Y TENGAN LA PC AL FRENTE DEL TELEFONO PARA CONFIGURARLA. SALUDOS
Cerrar el puerto 5555/upnp
ResponderBorrarEsta mañana me comunique con los chicos del call, me informaron que NO van a reemplazar los Modems y q estan trabajando en la solución.
ResponderBorrarPueden hacer el up-grade del firmware remoto...no me lo confirmaron.
Habra que esperar. Seguramente lo van a solucionar.
Excelente la solucion de activar el Firewall a Medium en el router. La conexion esta normal desde ayer.
ResponderBorrarOjala se utilizara un 5% del tiempo perdido en hacer daño en algo productivo.
Por suerte siempre hay gente como en este caso que AISLA a los pelotudos con soluciones.
Felicitaciones!!!!
Agrego algo que sirve para este caso y para cualquier otro.
ResponderBorrar*** Como Verificar la seguridad del router de acceso a Internet ***
*** (cualquier marca, modelo e ISP) ***
Un sitio reconocido que permite verificar que NO tenemos puertos expuestos a Internet en nuestro router es: Shields UP!
-Ingresar a https://www.grc.com/
-En el menú Services (arriba a la izquierda) elegir Shields UP!!
-en la pagina que aparece pulsar el botón Proceed
-luego hacer los test.
Recomiendo hacer todos (File sharing, Common Ports, All services).
Incluso el nuevo test GRC's Instant UPnP Exposure Test (no se ve en el video)
Video de como se usa y los resultados:
https://www.youtube.com/watch?v=tFo1vWgJ9ro
Periódicamente uno debería verificar que nada ha cambiado.
Slds.
Raúl
se me cambio el nombre de la red "wifi-arnet-m162" pero se cambio la contraseña con la cual entraba
ResponderBorrarAparentemente el problema esta solucionado desde el viernes a la noche, ya que no hice ninguna modificacion en mi modem y arnet volvio a estar operativo 100%.
ResponderBorrar