Billede: Citrix
Ubiquiti Networks arbejder på en rettelse af et nyligt opdaget sikkerhed problem, der påvirker dets udstyr, at angriberne har været at udnytte siden juli sidste år.
Spørgsmålet virkninger over 485,000 enheder, i henhold til en internet-scanning foretaget af OS cyber-sikkerhed firmaet Rapid7.
Masse-udnyttelse angreb blev først opdaget i sidste uge af Jim Troutman, medstifter af internet exchange point NNENIX (Nordlige New England og Neutralt Internet Exchange).
Troutman sagde trussel aktører har brugt en tjeneste, der kører på port 10,001 på Ubiquiti enheder til at udføre svage amplification DDoS-angreb.
– Angribere er at sende små pakker af 56 bytes til port 10,001 på Ubiquiti enheder, der er reflekterende og formidle den-pakker til et mål IP-adresse, forstærket til en størrelse af 206 bytes (forstærkningsfaktor af 3.67).
Udnyttelse forsøg er i deres begyndende stadier, og angribere, der stadig eksperimenterer med den bedste vej til at udføre angreb. Der har ikke været nogen større strømafbrydelser, der er forårsaget af DDoS-angreb, der udføres via dette angreb, industri insidere har fortalt ZDNet.
Angreb, der sker på havnen 10,001
I en sikkerhedsadvarsel, udgivet af Rapid7, senior security researcher Jon Hart forklarer, at angriberne er at udnytte en “discovery service” kører på port 10,001, som Ubiquiti Networks, der indgår i sine enheder, så virksomheden og internet service providers (Isp), kan du bruge det til at finde Ubiquiti udstyr på internettet og i lukkede netværk.
Hart sagde forstærkningsfaktor af denne service kan gå op til 30-35, udgør den en reel fare for, at hackere kunne finde en måde at weaponize denne service og udføre et DDoS-angreb, der overstiger 1Tbps, som Hart, der er beskrevet som “en lammende mængden af trafik til alle, men de mest befæstede infrastruktur.”
Den Rapid7 forsker sagde, at den eneste gode nyhed i øjeblikket er, at denne discovery protocol “ikke synes at lide af multi-pakke svar,” at gøre udnyttelse ekstremt hårdt for tiden, som angribere kan kun “afspejle” små mængder af DDoS-trafik.
Dog, hackere bør aldrig undervurderes, en grund til, at Ubiquiti Networks meddelte i sidste uge, at det var ved at forberede et plaster, selv om det i sin nuværende form er den protokol, der ikke synes at være så skadeligt.
“Til vores nuværende viden, kan dette spørgsmål ikke kan bruges til at få kontrol over netværket enheder eller til at skabe et DDoS-angreb,” hardware kaffefaciliteter sagde.
“Som en midlertidig løsning til dette problem, mens det er ved at blive undersøgt og løst af udviklingen team, netværksoperatører kan blokere port 10001 på nettet perimeter,” Ubiquiti Networks tilføjet.
Også som en bivirkning, som en hacker forsøger at bruge denne service for DDoS-angreb, remote adgang til enheden via SSH-tjenesten er også skåret ud.
Mens større udnyttelse forsøg er blevet opdaget for nylig, Rapid7 er Hart sagde, at det første angreb, der forsøger at udnytte Ubiquiti discovery service var blevet spottet i juli sidste år, da nogle Ubiquiti enhed ejere rapporterede problemer med at få adgang til SSH-tjenester på deres enheder.
De fleste af de berørte enheder er af høj kvalitet udstyr WISP
Hart siger, at denne opdagelse port ikke er specifikke for en Ubiquiti enhed, og er fundet på en bred vifte af leverandørens udstyr, såsom NanoStation (172,000 enheder), AirGrid (131,000 enheder), LiteBeam (43,000 enheder), PowerBeam (over 40.000), og andre.
De fleste af de enheder, der er WiFi-antenner, broer og access point-udstyr, som typisk findes på nettet af trådløse Isp ‘ er (Totter). Hart siger, at mens enheder udsætte port 10,001 er placeret over hele verden, er en stor del af dem er samlet i Brasilien, USA, Spanien, og Polen.
Billede: Rapid7
Af 485,000 enheder udsætte denne port, 17,000 er også blevet ødelagt allerede, ifølge Hart, og byder på ikkeryger-standard værtsnavne. Dette betyder, at disse enheder er også mest sandsynligt, at køre forældet firmware.
Ubiquiti enheder er blevet ødelagt på en regelmæssig basis i de seneste år. For eksempel, i januar 2018, en hacker har ændret værtsnavne for over 36.000 Ubiquiti enheder navne som “HACKET FTP-server”, “HACKET-ROUTER-HJÆLPE-SOS-VAR-MFWORM-SMITTET,” eller “HACKET-ROUTER-HJÆLPE-SOS-HAVDE-DEFAULT-PASSWORD.”
I 2016, Ubiquiti enheder blev ødelagt igen, efter at hackere adgang til enheder, ændret hostnames, men også adgang legitimationsoplysninger-brugernavn “mor” og password “[udråb]er”.
Enheden ejere og ISP medarbejdere bekymrede for, om angreb på deres enheder kan følge dette råd fra Ubiquiti om, hvordan du deaktiverer discovery service på deres enheder.
Mere sikkerhed dækning:
Hackere går efter Cisco RV320/RV325 routere ved hjælp af en ny exploitDOJ bevæger sig for at tage ned Joanap botnet, der drives af nordkoreanske statslige hackersPolice er nu rettet mod tidligere WebStresser DDoS-for-hire usersJapanese regering har planer om at bryde ind i borgernes enheder, tingenes internet
IoT-botnet bruges i YouTube ad svig schemeThe DDoS, at der ikke var: en nøgle takeaway til web domæne securityCalifornia guvernør tegn landets første tingenes internet security law CNET
5 trin til en ny tingenes internet support strategi, TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre