Bild: Citrix
Ubiquiti Networks arbetar på en lösning på ett nyupptäckt säkerhetsproblem som påverkar dess enheter att angriparna har exploaterat sedan juli förra året.
Frågan påverkan över 485,000 enheter, enligt en internet-scan utförd av OSS på it-säkerhetsföretaget Rapid7.
Massa-utnyttjande attacker var först såg förra veckan av Jim Troutman, en av grundarna av internet exchange point NNENIX (Norra New England Neutralt Internet Exchange).
Troutman sade hot aktörer har använt en tjänst som körs på port fler än 10 001 på Ubiquiti enheter för att utföra svag DDoS-amplifiering attacker.
Angriparna skickar små paket av 56 byte till port fler än 10 001 på Ubiquiti enheter, som återspeglar och att vidarebefordra paket till en mål-IP-adress förstärks till en storlek av 206 byte (förstärkning faktor 3.67).
Utnyttjande försök är i sin begynnande skede, och angriparna är fortfarande experimenterar med det bästa sättet att utföra attacker. Det har inte varit några större avbrott som orsakas av DDoS-attacker som utförs via den här angreppspunkten, industri insiders har berättat för ZDNet.
Attacker som sker på port fler än 10 001
I en säkerhetsvarning som publiceras av Rapid7, högre säkerhet forskaren Jon Hart förklarade att angripare utnyttjar en “discovery” som körs på port fler än 10 001, som Ubiquiti Networks ingår i sina enheter så att de företag och internet service providers (Isp) kan använda det för att hitta Ubiquiti utrustning på internet och i slutna nätverk.
Hart sa förstärkning faktor för denna service kan gå upp till 30-35, som utgör den verkliga faran att angriparna kunde hitta ett sätt att weaponize denna tjänst och utföra DDoS-attacker över 1Tbps, som Hart beskrivs som “en enorm mängd trafik till alla men mest berikade infrastruktur.”
Den Rapid7 forskare sade att den enda goda nyheten i dag är att denna upptäckt protokoll “inte verkar lida av multi-paket-svar,” att göra utnyttjande extremt svårt för tillfället, som angripare bara kan “spegla” små mängder av DDoS-trafik.
Men, hackare bör aldrig underskattas, en anledning till varför Ubiquiti Networks meddelade förra veckan att det höll på att förbereda en lapp, även om det i sin nuvarande form protokollet verkar inte vara så att skadliga.
“Vår nuvarande kunskap, denna fråga kan inte användas för att få kontroll över nätverksenheter eller för att skapa en DDoS-attack,” den utrustning maker sagt.
“Som en tillfällig lösning på problemet medan det utreds och beslutas av team, nätoperatörer kan blockera port 10001 på nätet omkrets,” Ubiquiti Networks läggas till.
Även som en bieffekt, som en angripare försöker att använda den här tjänsten för DDoS-attacker, fjärråtkomst till enheten via en SSH-tjänsten är också klippa ut.
Medan större utnyttjande försök har setts nyligen, Rapid7 Hart sa att de första attackerna som försöker utnyttja Ubiquiti discovery service hade setts i juli förra året, när vissa Ubiquiti-enhet ägarna rapporterat problem med att öppna en SSH-tjänst på sina enheter.
De flesta drabbade enheter är av hög kvalitet WISP utrustning
Hart säger att denna upptäckt port är inte specifika för en Ubiquiti enhet, och finns på en mängd olika säljarens utrustning, såsom NanoStation (172,000 enheter), AirGrid (131,000 enheter), LiteBeam (med 43 000 enheter), PowerBeam (40,000), och andra.
De flesta av enheterna wi-fi trådlöst Lan antenner, broar och kopplingspunkter –utrustning som normalt finns på ett nätverk av trådlösa Isp (Leverantörerna). Hart säger att medan enheter utsätta port fler än 10 001 är placerade över hela världen, ett stort antal av dem är samlat i Brasilien, USA, Spanien och Polen.
Bild: Rapid7
Av 485,000 enheter utsätta denna port, 17,000 har också varit i iran redan, enligt Hart, med icke-standard värdnamn. Detta innebär att dessa enheter är också mest benägna att köra inaktuell inbyggd programvara.
Ubiquiti enheter har förvanskats på en regelbunden basis under de senaste åren. Till exempel, i januari 2018 kan en hacker förändrat värdnamn i över 36.000 Ubiquiti enheter till namn som “HACKADE FTP-server”, “HACKAT-ROUTER-HELP-SOS-VAR-MFWORM-SMITTADE” eller “HACKA-ROUTER-HELP-SOS-HADE-DEFAULT-LÖSENORDET.”
I och med 2016, Ubiquiti enheter oläsligt igen efter att hackare nås enheter, ändras värdnamn, men också att få åtkomst –användarnamn “mamma” och lösenord “[svordom]er”.
Enhet ägare och ISP anställda orolig för attacker mot sina enheter kan följa detta råd från Ubiquiti om hur man stänger av söktjänsten på sina enheter.
Mer trygghet:
Hackare kommer efter Cisco RV320/RV325 routrar med en ny exploitDOJ rör sig för att ta ner Joanap botnät som drivs av den nordkoreanska staten hackersPolice riktar nu tidigare WebStresser DDoS-för-hyra usersJapanese regeringens planer på att hacka sig in i medborgarnas IoT enheter
Sakernas internet botnät används i YouTube annons bedrägeri schemeThe DDoS-som inte var en viktig takeaway för webben domän securityCalifornia guvernör tecken landets första sakernas internet security law CNET
5 steg till en ny sakernas internet som stöd strategi TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter