Page 1 of 1

Worm εκμεταλλεύεται γνωστή ευπάθεια για να μολύνει Ubiquity

Posted: Tue May 24, 2016 12:22 pm
by neoplan
http://www.adslgr.com/forum/threads/935 ... 2-Ubiquity
Routers και άλλες ασύρματες συσκευές κατασκευής της Ubiquiti Networks, πρόσφατα έπεσαν θύματα μόλυνσης από "σκουλήκι" (worm) που Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. Όνομα: ubiquiti_airrouter_01-100662255-large.jpg Εμφανίσεις: 287 Μέγεθος: 10,5 KB ID: 170702εκμεταλλεύεται μια γνωστή εδώ και ένα χρόνο ευπάθεια απομακρυσμένης πρόσβασης. Η επίθεση τονίζει ένα σημαντικό ζήτημα της ασφάλειας των routers -την έλλειψη δυνατότητας αυτόματης αναβάθμισης και την αδιαφορία των χρηστών τους στο να αναβαθμίσουν στην τελευταία έκδοση του firmware τους.

Το σκουλήκι δημιουργεί έναν backdoor admin account (HTTP/HTTPS exploit που δεν απαιτεί πιστοποίηση) στις ευάλωτες συσκευές και μέσω αυτών σκανάρει και μολύνει άλλες, στο ίδιο ή σε διαφορετικό δίκτυο. Η επίθεση εντοπίστηκε σε συσκευές της σειράς airMAX M, αλλά και αυτές της σειράς AirMAX AC, airOS 802.11G, ToughSwitch, airGateway και airFiber που δεν έχουν αναβαθμιστεί είναι ευάλωτες σε αυτήν.

Το exploit είχε ανακοινωθεί ιδιωτικά μέσω ενός bug bounty προγράμματος στην Ubiquity και πατσαρίστηκε στις νεώτερες εκδόσεις του firmware των συσκευών της.

Σύμφωνα με την Symantec, μετά την επιτυχή μόλυνση το worm δημιουργεί έναν κανόνα στο firewall, αποτρέποντας την πρόσβαση του device admin στο web inteface, ενώ επιπλέον αντιγράφει τον εαυτό του στο rc.poststart script, για να επαναφορτωθεί μετά από κάθε reboot. Η Ubiquity έφτιαξε ένα Java-based app το οποίο μπορεί να αφαιρέσει αυτόματα την μόλυνση, και είναι διαθέσιμο για Windows, Linux και OS X.