Marcelo.ar

Blog de noticias para Windowser@s & Moziller@s

General
Artículos y anotaciones generales

Falsa infeccion con DNS Hijack Utopia.net en modem Sagemcom Fast 3890 V3 de Fibertel

Por marcelo.ar - 23 de Julio, 2019, 22:18, Categoría: General

Desde principios de éste año varios usuarios del proveedor de Internet Fibertel vienen reportando supuestas infecciones en algunos modelos de modems instalados por esta empresa, inicialmente el Technicolor DPC3848VE y recientemente el Sagemcom Fast 3890 V3 CVA.

La sospecha era que estos modems/routers venían con el firmware infectado con el "DNS Hijack Utopia.net".

Al hacer un ipconfig /all desde línea de comandos (WIN+R --> CMD), se observa que en lugar de "fibertel.com.ar" como sufijo DNS sale "utopia.net"

Eso motivó infinidad de quejas y reclamos de los usuarios de esta compañía que en algunos casos lograron el recambio del modem/router supuestamente infectado por otro de distinta marca.

El soporte de Fibertel no brindó ninguna explicación convincente a los usuarios, en algunos casos contestaban que el dominio utopia.net pertenecía a la empresa y en otros que era una infección en la PC del usuario, lo cual motivó que la supuesta infección de los módems se viralizara en redes sociales.

Fibertel estaría utilizando un Firmware Open Source desarrollado por Cisco en los mencionados cablemodems. Observando el codigo fuente del mismo en linea 356 se ve que el sufijo "utopia.net" es solo una configuracion por defecto: "$lan_domain=utopia.net"

Lo correcto hubiera sido que Fibertel editara esa línea del siguiente modo: $lan_domain=fibertel.com.ar o bien dejarla en blanco como se observa en versiones posteriores de ese firmware.

Fibertel, además del sufijo DNS olvidó cambiar otras configuraciones como se observa en la UI del panel del modem ( http://192.168.0.1/ ) ya que dejó algunas que coinciden con la de los modems del proveedor norteamericano Comcast.net / Xfinity, por ejemplo al pasar el puntero del mouse sobre el logo de Cablevision-Fibertel se lee "xfinity" y además en la sección "Diagnostic Tools" figura comcast.net como sitio de prueba, como se puede ver en estas capturas:

Cisco DPC3941T de Comcast.net / xfinity:

Sagemcom Fast 3890 V3 de Fibertel:

Por lo tanto no existe ningun DNS Hijack en estos módems, solo se trata de un error trivial en su configuración.

Podemos verificar que los DNS no están alterados con solo acceder a sitios como F-Secure Router Checker , whoismydns.com , www.dnsleaktest.com o ipleak.net entre otros.

En caso que el usuario no quiera ver más "utopia.net" como sufijo, podrá personalizar esto desde las propiedades del adaptador de red: protocolo TCP/IP V4, Opciones avanzadas, y elegir un sufijo que le agrade:

El nombre utopia obedece al proyecto de Cisco sobre migracion de Telefonia PBX a Telefonía IP:

The Road to IP Telephony: How Cisco Systems Migrated from PBX to IP Telephony
Por Stephanie Carhee, Cisco Systems

Los modems de Fibertel mencionados cuentan con uno o dos puertos de Telefonía, motivo por el cual utilizan este firmware desarrollado por Cisco.

Actualización 25/09/2019:
Usuarios de Fibertel informan que se les actualizó el firmware del módem.
Versión anterior (sufijo utopia.net): "FAST3890V3_CVA-RDK_72.20.5"
Versión actual (sufijo fibertel.com.ar): "FAST3890V3_CVA-RDK_72.30.1"

Créditos:
Foro 3dgames - usuario el_bardero

Foro Bandaangosta - usuario jrbcba

Ref.:
Solucion microcortes de fibertel (Reddit)

Reclamos (Facebook)

Información incorrecta difundida por el Centro de Protección de Datos Personales (web Defensoría del pueblo de C.A.B.A.):
Atención: Cómo saber si tu Módem está infectado
Captura: Cómo saber si tu Módem está infectado