Červ infikuje nepřipojená bezdrátová zařízení Ubiquiti

Směrovače a další bezdrátová zařízení vytvořená sítí Ubiquiti Networks byly nedávno infikovány červem, který zneužívá roční zranitelnost vzdáleného neoprávněného přístupu.

Útok upozorňuje na jeden z hlavních problémů se zabezpečením routeru: skutečnost, že velká většina z nich nemá mechanismus automatické aktualizace a že jejich majitelé je téměř nikdy manuálně neaktualizují.

Červ vytvoří na zranitelných zařízeních účet administrátora backdoor a poté je použije k vyhledávání a infikování dalších zařízení ve stejné a jiné síti.

„Jedná se o zneužití HTTP / HTTPS, které nevyžaduje ověření,“ řekl Ubiquiti v radě. "Jednoduše mít rádio na zastaralém firmwaru a mít své http / https rozhraní vystavené na internetu, stačí se nakazit."

Společnost zaznamenala útoky na zařízení řady airMAX M, ale ovlivněny jsou také zařízení AirMAX AC, airOS 802.11G, ToughSwitch, airGateway a airFiber, které běží zastaralý firmware..

Zranitelnost byla ohlášena soukromě pro Ubiquiti v loňském roce prostřednictvím programu Bounty Bug a byla opravena v programech airMAX v5.6.2, airMAX AC v7.1.3, airOS 802.11G v4.0.4, TOUGHSwitch v1.3.2, airGateway v1.1.5, airFiber AF24 / AF24HD 2.2.1, AF5x 3.0.2.1 a AF5 2.2.1. Zařízení používající novější firmware než tyto verze by měla být chráněna.

U zařízení airMAX M doporučuje společnost upgradovat na nejnovější verzi 5.6.5. Tato verze však odstraňuje podporu pro rc.scripty, takže uživatelé, kteří se spoléhají na tuto funkci, by se zatím měli držet s 5.6.4.

Doporučujeme také použití filtrování brány firewall k omezení vzdáleného přístupu k rozhraní pro správu.

Podle vědců ze společnosti Symantec poté, co červ zneužije chybu k vytvoření backdoor účtu, přidá pravidlo brány firewall, aby blokoval legitimním správcům přístup k webovému rozhraní pro správu. Také se zkopíruje do skriptu rc.poststart, aby zajistil, že bude přetrvávat i po restartu zařízení.

„Zatím se zdá, že tento malware neprovádí žádné další činnosti kromě vytvoření účtu zadních dveří, blokování přístupu k zařízení a rozšíření na další směrovače,“ uvedli vědci společnosti Symantec ve čtvrtek na blogu. "Je pravděpodobné, že útočníci za touto kampaní mohou šířit červa pro pouhou výzvu. Může to být také důkaz rané explorativní fáze větší operace."

Ubiquiti Networks také vytvořil aplikaci založenou na Java, která dokáže automaticky odstranit infekci z postižených zařízení. Může být použit na Windows, Linux a OS X.

Zabezpečení směrovače je obzvláště špatné na spotřebitelském trhu, kde velké množství směrovačů může být po mnoho let zranitelné vůči známým zranitelnostem a může být hromadně kompromitováno za účelem vytváření distribuovaných botnetů pro odmítnutí služby (DDoS) nebo k zahájení provozu „in-the-the-“ střední útoky proti jejich uživatelům.

V minulosti se útočníkům podařilo unést stovky tisíc domácích směrovačů jednoduše vyzkoušením výchozích nebo běžných uživatelských jmen a hesel. Uživatelé by měli při instalaci směrovače vždy změnit výchozí heslo správce a měli by zakázat vzdálený přístup k rozhraní pro správu, pokud není tato funkce potřebná.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.