Solucionado: Re: Router RV320 Hackeado nuevamente

JUGAMAR-2 · ‎05-05-2020

Estimados colegas, tengo varios sitios conectados usando router Cisco RV320, fui victima de Hacker nuevamente ya que en 2019 fueron hackeados este mismo modelo.

ahora en el mes de abril perdí nuevamente el acceso a los router y revisando es que alguien se metió y me bloqueo el acceso al mismo.

el problema que se me presenta es error de certificado y no me deja entrar con ningún explorador. (Probé con Google chrome, explorer de windows, Mozilla,), me dice que el certificado no es confiable y no me deja accesar.

Si alguien le ha pasado necesito una solución

JUGAMAR-2 · ‎06-26-2020

En realidad yo tenia razón: Cisco había parchado mal la versión 1.5.1.05 y todavía los Hacker podían hacer implantación en el equipo, gracias a Dios el día 17 de Junio del 2020 sacaron una nueva versión del Firmware la versión 1.5.1.11 en la cual se habla tel tema y de las fallas que le faltaba resolver.

Muchas Gracias CISCO.

Ver la solución en mensaje original publicado

Julio E. Moisa · ‎05-05-2020

Hola,

Antes de todo lamento escuchar sobre el caso, lo primero que debes hacer es actualizar el sistema operativo de router o instalar algun patch y hacer un hardening del equipo, por ejemplo y si es posible en el equipo:

- Indicar unicamente desde que direcciones IP privadas y publicas puedes alcanzar el router.

- Fortalecer el tamano de las contrasenas, incluir, numeros, mayusculas, minusculas, caracteres, y no usar palabras comunes.

- Cambiar las contrasenas cada cierto tiempo.

- No utilizar Telnet, sino unicamente SSH y HTTPS.

- Puedes intentar bloquear el ICMP desde afuera.

- No dejar credenciales de fabrica y no utilizar usuarios como: Cisco o Admin a pesar que se le cambie la contrasena.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

JUGAMAR-2 · ‎05-06-2020

Estimado Julio E. Moisa.

Ya lo volví a actualizar el firmware, mi desconfianza es que he visto en la internet comentarios de que hacker chinos han entrado nuevamente a este modelo de Router por un parche mal implementado por parte de cisco que no resuelve el problema ya que al preguntar al router por sus credenciales el envía una repuesta con todos los datos, aqui abajo te copio el comentario:

Cisco una vez más, otra vez

RedTeam Pentesting
El 27 de marzo de 2019, la firma de seguridad alemana RedTeam Pentesting emitió tres advertencias sobre errores en el enrutador VPN VPN WAN Gigabit Dual RV320 de Cisco . La mayor severidad es la reputación de Cisco. Estos errores se identificaron inicialmente en septiembre de 2018, y las primeras tres advertencias sobre ellos se lanzaron el 23 de enero de 2019. Cisco emitió correcciones, pero las correcciones fueron defectuosas. Se informó que estos enrutadores fueron atacados en enero de 2019; hay un resumen de esto a continuación en esta página.

Cisco falló los parches RV320 / RV325, los enrutadores aún expuestos a los hacks por Catalin Cimpanu de ZDNet el 28 de marzo de 2019. Los errores también afectan el RV325.
Inyección de comandos de Cisco RV320 RedTeam Pentesting descubrió una vulnerabilidad de inyección de comandos en la función de generador de certificados basada en web del enrutador Cisco RV320 que el proveedor no parchó adecuadamente.
Exportación de configuración no autenticada Cisco RV320 RedTeam Pentesting descubrió que la configuración de un enrutador Cisco RV320 todavía puede exportarse sin autenticación a través de la interfaz web del dispositivo debido a una solución inadecuada por parte del proveedor.
Recuperación de datos de diagnóstico sin autenticar de Cisco RV320 RedTeam Pentesting descubrió que el enrutador de Cisco RV320 aún expone datos de diagnóstico confidenciales sin autenticación a través de la interfaz web del dispositivo debido a una solución inadecuada por parte del proveedor.

JUGAMAR-2 · ‎05-15-2020

La semana pasada hice todo lo que me dijo:

Actualice firmware, cambie usuario y cambie contraseña, puse una contraseña compleja.

pues le cuento el día de hoy fue Hackeado de nuevo.

me parece que hay que revisar el parche que saco cisco para resolver este problema.

Saludos

JUGAMAR-2 · ‎05-17-2020

Estimado donde encuentro esta opción.

Indicar únicamente desde que direcciones IP privadas y publicas puedes alcanzar el router

JUGAMAR-2 · ‎05-20-2020

ya hice todas las recomendaciones hechas, pero me volvieron a hackear, solo me falto configurar la recomendación de decirle de que direcciones ip puedan alcanzar el router.

por el momento lo deje con la administración vía web desabilitada y no ha pasado nada.

para mi todavia hay alguna falla en el parche que soltó cisco en el año 2019.

Saludos

JUGAMAR-2 · ‎06-26-2020

En realidad yo tenia razón: Cisco había parchado mal la versión 1.5.1.05 y todavía los Hacker podían hacer implantación en el equipo, gracias a Dios el día 17 de Junio del 2020 sacaron una nueva versión del Firmware la versión 1.5.1.11 en la cual se habla tel tema y de las fallas que le faltaba resolver.

Muchas Gracias CISCO.