Immagine: Citrix
Ubiquiti Networks è al lavoro su un fix per la scoperta di una nuova questione di sicurezza che interessano i suoi dispositivi che gli hacker hanno sfruttato dal luglio dello scorso anno.
Il problema impatti sull’485,000 dispositivi, secondo una scansione internet da NOI condotta di cyber-sicurezza ditta di Rapid7.
Massa-sfruttamento attacchi sono stati avvistati la scorsa settimana da Jim Troutman, co-fondatore di internet exchange point NNENIX (Nord del New England Neutro Internet Exchange).
Troutman detto che minaccia gli attori sono stati utilizzando un servizio in esecuzione sulla porta 10,001 su Ubiquiti dispositivi di effettuare debole DDoS amplificazione attacchi.
Gli aggressori sono l’invio di piccoli pacchetti di 56 byte alla porta 10,001 su dispositivi Ubiquiti, che riflettono e l’inoltro di pacchetti per un indirizzo IP di destinazione amplificato per una dimensione di 206 byte (fattore di amplificazione di 3,67).
Lo sfruttamento tentativi sono nelle loro fasi incipienti, e gli aggressori sono ancora in fase di sperimentazione, il modo migliore per effettuare gli attacchi. Non vi sono state importanti le interruzioni causate da attacchi DDoS effettuata per il tramite di questo vettore di attacco, gli addetti del settore hanno detto a ZDNet.
Attacchi accadendo sulla porta 10,001
In un avviso di sicurezza pubblicato da Rapid7, senior security researcher di Jon Hart ha spiegato che gli aggressori sono sfruttando un “servizio di rilevamento” in esecuzione sulla porta 10,001, che Ubiquiti Networks incluso nei suoi dispositivi, in modo che l’azienda e i fornitori di servizi internet (Isp) può utilizzare per trovare Ubiquiti attrezzature su internet e nelle reti chiuse.
Hart ha detto che il fattore di amplificazione di questo servizio possono andare fino a 30-35, posando il reale pericolo che i malintenzionati potrebbero trovare un modo per militarizzare questo servizio e di effettuare attacchi DDoS in eccesso di 1Tbps, Hart, che ha descritto come “un paralizzante quantità di traffico verso tutti, ma il più fortificato infrastrutture”.
Il Rapid7 ricercatore ha detto che l’unica buona notizia, al momento, è che questa scoperta protocollo “non sembrano soffrire di multi-pacchetto di risposte,” rendere lo sfruttamento estremamente difficile per il momento, gli aggressori possono solo “riflettere” piccole quantità di traffico DDoS.
Tuttavia, gli hacker non dovrebbe mai essere sottovalutato, un motivo per cui Ubiquiti Networks ha annunciato la scorsa settimana che stava preparando una patch, anche se nella sua forma attuale, il protocollo non sembrano essere che dannoso.
“Per quanto a nostra conoscenza, questo problema non può essere utilizzato per ottenere il controllo dei dispositivi di rete, o per creare un attacco DDoS,” il produttore di hardware ha detto.
“Come una soluzione temporanea per questo problema è stato affrontato e risolto dal team di sviluppo, gli operatori di rete possono bloccare la porta 10001 al perimetro della rete,” Ubiquiti Networks aggiunto.
Inoltre, come effetto collaterale, come attaccante sta cercando di utilizzare questo servizio per gli attacchi DDoS, l’accesso remoto al dispositivo tramite il suo servizio SSH è anche tagliato fuori.
Mentre le grandi sfruttamento tentativi sono stati avvistati di recente, Rapid7 della Hart ha detto che i primi attacchi, cercando di sfruttare la Ubiquiti servizio di rilevamento era stato avvistato lo scorso luglio, quando alcuni Ubiquiti dispositivo proprietari segnalati problemi di accesso SSH servizi sui loro dispositivi.
Maggior parte dei dispositivi interessati sono di alta qualità WISP attrezzature
Hart dice che questa scoperta porta non è specifico per una Ubiquiti dispositivo, e si trova su una vasta gamma di il venditore di attrezzature, come NanoStation (172,000 dispositivi), AirGrid (131,000 dispositivi), LiteBeam (43,000 dispositivi), PowerBeam (da 40.000), e altri.
La maggior parte dei dispositivi sono antenne WiFi, ponti, e i punti di accesso –attrezzature in genere la rete wireless Isp (Wisp). Hart dice che mentre i dispositivi di esporre porta 10,001 si trovano in tutto il mondo, un gran numero di loro sono ammassati in Brasile, USA, Spagna e Polonia.
Immagine: Rapid7
Del 485,000 dispositivi di esporre questa porta, di 17.000 sono anche stato cancellato già, secondo Hart, con non-standard di nomi di host. Questo significa che questi dispositivi sono anche più probabile che in esecuzione il firmware obsoleto.
Ubiquiti dispositivi sono stati deturpati regolarmente negli ultimi anni. Per esempio, nel gennaio del 2018, un hacker ha cambiato il nome host di oltre 36.000 Ubiquiti dispositivi di nomi come “HACKERATO il server FTP, il” “HACKED-ROUTER-AIUTO-SOS-ERA-MFWORM INFETTI” o “HACKED-ROUTER-AIUTO-SOS-ERA-DEFAULT-PASSWORD”.
Nel 2016, Ubiquiti dispositivi sono stati imbrattati di nuovo dopo hacker hanno avuto accesso a dispositivi, cambiato i nomi di host, ma anche le credenziali di accesso –username “madre” e la password “[imprecazione]er”.
Proprietari di dispositivo e ISP dipendenti preoccupati per gli attacchi contro i loro dispositivi in grado di seguire questo consiglio da Ubiquiti su come disattivare il servizio di rilevamento sui loro dispositivi.
Più copertura di sicurezza:
Gli hacker stanno andando dopo di Cisco RV320/RV325 router utilizzando un nuovo exploitDOJ si muove per prendere giù Joanap botnet operati da stato della corea del Nord hackersPolice ora prendono di mira l’ex WebStresser DDoS-per-noleggio usersJapanese i piani del governo per hackerare i cittadini dispositivi IoT
IoT botnet utilizzato in YouTube annuncio di frode schemeThe DDoS che non era: un takeaway chiave per il dominio web securityCalifornia governatore segni del paese prima IoT legge sicurezza CNET
5 passi per un nuovo IoT strategia di sostegno TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati