Afbeelding: Citrix
Ubiquiti Netwerken is werken aan een oplossing voor een nieuw ontdekte security probleem van invloed zijn op de apparaten die aanvallers zijn exploiteren sinds juli vorig jaar.
De uitgifte van de effecten over 485,000 apparaten, volgens een internet scan uitgevoerd door ONS cyber-beveiligingsbedrijf Rapid7.
Massa-exploitatie aanvallen werden voor het eerst gespot vorige week door Jim Troutman, mede-oprichter van de internet exchange point NNENIX (Noord-Nieuw Engeland Neutraal Internet Exchange).
Troutman zei bedreiging acteurs zijn met een service die wordt uitgevoerd op poort 10,001 op Ubiquiti apparaten uit te voeren zwakke DDoS-amplificatie-aanvallen.
Aanvallers zijn het verzenden van kleine pakketten van 56 bytes naar de haven 10,001 op Ubiquiti apparaten, die reflecteren en het doorgeven van de pakketten naar een doel-IP-adres versterkt tot een grootte van 206 bytes (versterkingsfactor van 3.67).
De exploitatie pogingen zijn in hun beginnende fase, en de aanvallers zijn nog aan het experimenteren met de beste manier om het uitvoeren van de aanvallen. Zijn er niet een grote storingen veroorzaakt door DDoS-aanvallen uitgevoerd via deze aanval, insiders hebben verteld ZDNet.
Aanvallen gebeurt op de haven 10,001
In een security alert uitgegeven door Rapid7, senior security researcher Jon Hart legde uit dat de aanvallers zijn het exploiteren van een dienst die draait op poort 10,001, die Ubiquiti Netwerken opgenomen in de apparaten, zodat de vennootschap en internet service providers (Isp ‘ s) kunt gebruiken voor het zoeken naar Ubiquiti apparatuur op het internet en in gesloten netwerken.
Hart, zei de versterkingsfactor van deze service kan oplopen tot 30-35, waardoor het reële gevaar dat hackers een manier zou vinden om weaponize deze dienst en het uitvoeren van DDoS-aanvallen dan 1Tbps, die Hart beschreven als “een verlammende hoeveelheid verkeer op alle, maar de meest versterkte infrastructuur.”
De Rapid7 onderzoeker zei dat het enige goede nieuws op dit moment is dat deze discovery protocol “lijkt niet te lijden hebben van de multi-pakket reacties,” het maken van uitbuiting erg moeilijk voor de tijd, als aanvallers de machine kunnen alleen “weerspiegelen” kleine hoeveelheden van DDoS-verkeer.
Echter, hackers, mag nooit worden onderschat, een reden waarom Ubiquiti Netwerken heeft vorige week aangekondigd dat het van plan was een patch is, zelfs in zijn huidige vorm het protocol niet lijkt te worden dat het schadelijk is.
“Op onze huidige kennis, dit probleem kan niet worden gebruikt om de controle van apparaten in een netwerk of voor het maken van een DDoS-aanval,” de hardware-maker zei.
“Als een tijdelijke oplossing voor dit probleem terwijl het wordt onderzocht en opgelost door de ontwikkeling van het team, netwerk-exploitanten kunnen blokkeren poort 10001 op de netwerk perimeter,” Ubiquiti Netwerken toegevoegd.
Ook als een side-effect, als een aanvaller probeert om deze dienst te gebruiken voor een DDoS-aanvallen is de toegang tot het apparaat via de SSH service is ook uitgesneden.
Terwijl grotere uitbuiting pogingen zijn onlangs gespot, Rapid7 het Hart, zei dat de eerste aanvallen proberen misbruik te maken van het Ubiquiti discovery-service had gespot in juli vorig jaar, toen enkele Ubiquiti apparaat eigenaren gerapporteerde problemen met de toegang tot SSH diensten op hun apparaten.
Het meest getroffen zijn de apparaten van hoogwaardige WISP apparatuur
Hart zegt dat deze ontdekking de haven is niet specifiek voor een Ubiquiti apparaat, en is te vinden op een breed scala van de leverancier van de apparatuur, zoals NanoStation (172,000 apparaten), AirGrid (131,000 apparaten), LiteBeam (43,000 apparaten), PowerBeam (van 40.000), en anderen.
De meeste van de apparaten zijn WiFi-antennes, bruggen, en toegang punten-apparatuur, meestal gevonden op het netwerk van de draadloze Isp ‘ s (Slierten). Hart zegt dat, terwijl apparaten bloot haven 10,001 bevinden zich over de hele wereld, een groot aantal van hen zijn vergaard in Brazilië, de VS, Spanje en Polen.
Afbeelding: Rapid7
Van de 485,000 apparaten blootstelling van deze haven, met 17.000 ook zijn onleesbaar al, volgens Hart, met niet-standaard hostnamen. Dit betekent dat deze apparaten zijn ook de meeste kans loopt verouderde firmware.
Ubiquiti apparaten zijn verminkt op een regelmatige basis in de afgelopen jaren. Bijvoorbeeld, in januari 2018, een hacker veranderde de hostnamen van meer dan 36.000 Ubiquiti apparaten namen zoals “GEHACKT FTP-server”, “HACKED-ROUTER-HELP-SOS-WAS-MFWORM-GEÏNFECTEERDE,” of “GEHACKT-ROUTER-HELP-SOS-HAD-STANDAARD-WACHTWOORD.”
In 2016, Ubiquiti apparaten waren onleesbaar is weer nadat hackers toegankelijk apparaten, gewijzigd hostnamen, maar ook toegang tot referenties –username “moeder” en het wachtwoord “[exple-zichten]er”.
Apparaat-eigenaren en hun medewerkers zich zorgen over aanvallen op hun apparaten kunt u volgt dit advies van Ubiquiti op het uitschakelen van de discovery-service op hun apparaten.
Meer zekerheid:
Hackers gaan na Cisco RV320/RV325 routers met behulp van een nieuwe exploitDOJ beweegt naar beneden te nemen Joanap botnet wordt geëxploiteerd door de Noord-koreaanse staat hackersPolice zijn nu gericht op voormalige WebStresser DDoS-voor-het huren van usersJapanese regering is van plan om hack in burgers’ IoT apparaten
IoT botnet gebruikt in de YouTube ad fraude schemeThe DDoS dat was het niet: een key takeaway voor web domein securityCalifornia gouverneur tekenen land de eerste IoT veiligheid wet CNET
5 stappen naar een nieuwe IoT ondersteuning van de strategie van TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters