Vairāk nekā 485 000 Ubiquiti ierīču ir neaizsargātas pret jauniem uzbrukumiem

  • Oct 09, 2023

Ubiquiti ierīces varētu izmantot, lai uzsāktu DDoS uzbrukumu. Konstatēti izmantošanas mēģinājumi.

Pasaules karte DDoS kiberglobuss
Attēls: Citrix

Drošība

  • 8 ļoti drošu attālināto darbinieku ieradumi
  • Kā atrast un noņemt spiegprogrammatūru no tālruņa
  • Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
  • Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk

Ubiquiti Networks strādā pie jaunatklātās drošības problēmas novēršanas, kas ietekmē tās ierīces un ko uzbrucēji izmanto kopš pagājušā gada jūlija.

Problēma skar vairāk nekā 485 000 ierīču, liecina ASV kiberdrošības uzņēmuma Rapid7 veiktā interneta skenēšana.

Tāpat: Japānas valdība plāno uzlauzt pilsoņu IoT ierīces

Masveida ekspluatācijas uzbrukumus pagājušajā nedēļā pirmais pamanīja Džims Troutmens, interneta apmaiņas punkta NNENIX (Northern New England Neutral Internet Exchange) līdzdibinātājs.

Troutmens teica draudu dalībnieki ir izmantojuši pakalpojumu, kas darbojas Ubiquiti ierīču portā 10 001, lai veiktu vājus DDoS pastiprināšanas uzbrukumus.

Uzbrucēji uz Ubiquiti ierīču portu 10 001 sūta nelielas 56 baitu paketes, kas atspoguļo un pakešu pārsūtīšana uz mērķa IP adresi, kas palielināta līdz 206 baitiem (pastiprināšanas koeficients 3.67).

Ekspluatācijas mēģinājumi ir sākuma stadijā, un uzbrucēji joprojām eksperimentē ar labāko veidu, kā veikt uzbrukumus. Nav bijuši nekādi lieli pārtraukumi, ko izraisījuši DDoS uzbrukumi, kas veikti, izmantojot šo uzbrukuma vektoru, ZDNet ir stāstījuši nozares pārstāvji.

Uzbrukumi notiek 10 001. ostai

Iekšā drošības brīdinājums publicēja Rapid7, vecākais drošības pētnieks Džons Hārts paskaidroja, ka uzbrucēji izmanto "atklāšanas pakalpojumu", kas darbojas portā 10 001, ko Ubiquiti Tīkli, kas iekļauti tā ierīcēs, lai uzņēmums un interneta pakalpojumu sniedzēji (ISP) varētu to izmantot, lai atrastu Ubiquiti aprīkojumu internetā un slēgtās telpās. tīkliem.

Hārts sacīja, ka šī pakalpojuma pastiprināšanas koeficients var pieaugt līdz 30-35, radot reālus draudus, ka uzbrucēji var atrast veidu, kā to ieroci. pakalpojumu un veikt DDoS uzbrukumus, kas pārsniedz 1Tbps, ko Hārts raksturoja kā "kropļojošu trafika apjomu visiem, izņemot visvairāk stiprinātos infrastruktūra."

Rapid7 pētnieks teica, ka vienīgā labā ziņa šobrīd ir tāda, ka šis atklāšanas protokols "šķiet, ka necieš no vairāku pakešu atbildes, kas pagaidām padara ekspluatāciju ārkārtīgi grūtu, jo uzbrucēji var "atspoguļot" tikai nelielu DDoS daudzumu. satiksme.

Tomēr hakerus nekad nevajadzētu novērtēt par zemu, tāpēc Ubiquiti Networks pagājušajā nedēļā paziņoja ka tas gatavoja ielāpu, pat ja pašreizējā formā protokols nešķiet tāds kaitīgs.

"Pēc mūsu pašreizējām zināšanām šo problēmu nevar izmantot, lai iegūtu kontroli pār tīkla ierīcēm vai izveidotu DDoS uzbrukumu," sacīja aparatūras ražotājs. teica.

"Kā pagaidu risinājums šai problēmai, kamēr tā tiek izmeklēta un atrisināta izstrādes komanda, tīkla operatori var bloķēt portu 10001 tīkla perimetrā," Ubiquiti Tīkli pievienoti.

Tāpat kā blakusefekts, uzbrucējam cenšoties izmantot šo pakalpojumu DDoS uzbrukumiem, tiek pārtraukta arī attālā piekļuve ierīcei, izmantojot tās SSH pakalpojumu.

Lai gan nesen tika pamanīti lielāki izmantošanas mēģinājumi, Rapid7 Hārts sacīja, ka pirmie uzbrukumi, cenšoties izmantot Ubiquiti atklāšanas pakalpojumu, ir bijuši plankumaina pagājušā gada jūlijā, kad daži Ubiquiti ierīču īpašnieki ziņoja par problēmām piekļūt SSH pakalpojumiem savās ierīcēs.

Lielākā daļa skarto ierīču ir augstas kvalitātes WISP iekārtas

Hārts saka, ka šis atklāšanas ports nav raksturīgs vienai Ubiquiti ierīcei un ir atrodams daudzās pārdevēja ierīcēs. aprīkojumu, piemēram, NanoStation (172 000 ierīču), AirGrid (131 000 ierīču), LiteBeam (43 000 ierīču), PowerBeam (40 000) un citi.

Lielākā daļa ierīču ir WiFi antenas, tilti un piekļuves punkti — iekārtas, kas parasti atrodas bezvadu ISP (WISP) tīklā. Hārts saka, ka, lai gan ierīces, kas atklāj 10 001. portu, atrodas visā pasaulē, liels skaits no tām ir uzkrātas Brazīlijā, ASV, Spānijā un Polijā.

Attēls: Rapid7

No 485 000 ierīču, kas atklāj šo portu, 17 000 arī jau ir bojātas, saskaņā ar Hārta teikto, un tām ir nestandarta resursdatora nosaukumi. Tas nozīmē, ka šajās ierīcēs, visticamāk, darbojas arī novecojusi programmaparatūra.

Pēdējos gados Ubiquiti ierīces ir regulāri sabojātas. Piemēram, 2018. gada janvārī, hakeris mainīja resursdatora nosaukumus vairāk nekā 36 000 Ubiquiti ierīču uz tādiem nosaukumiem kā "UZlauzts FTP serveris", "HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED" vai "HACKED-ROUTER-HELP-SOS-HAD-DEFAULT". -PAROLE."

Vajag izlasīt

  • 5 veidi, kā nodrošināt uzņēmuma drošību (TechRepublic)
  • Datu pārkāpumi var jūs satriekt. Sagatavojies cīnīties pretī (CNET)

2016. gadā, Ubiquiti ierīces atkal tika sabojātas pēc tam, kad hakeri piekļuva ierīcēm, mainīja resursdatora nosaukumus, bet arī piekļuves akreditācijas datus — lietotājvārdu "māte" un paroli "[expletive]er".

Var sekot ierīču īpašnieki un ISP darbinieki, kuri ir noraizējušies par uzbrukumiem viņu ierīcēm šis padoms no Ubiquiti par to, kā savās ierīcēs atspējot atklāšanas pakalpojumu.

Kad uzsprāgst IoT/mājas automatizācijas ierīces

Vairāk drošības segumu:

  • Hakeri meklē Cisco RV320/RV325 maršrutētājus, izmantojot jaunu iespēju
  • DOJ cenšas likvidēt Joanap robottīklu, ko pārvalda Ziemeļkorejas valsts hakeri
  • Policija tagad vēršas pret bijušajiem WebStresser DDoS nomātiem lietotājiem
  • IoT robottīkls, ko izmanto YouTube reklāmu krāpšanas shēmā
  • DDoS, kas nebija: galvenais tīmekļa domēna drošības līdzeklis
  • Kalifornijas gubernators paraksta valstī pirmo IoT drošības likumuCNET
  • 5 soļi jaunai IoT atbalsta stratēģijai Tehniskā Republika