Worm εκμεταλλεύεται γνωστή ευπάθεια για να μολύνει Ubiquity

Χώρος ελεύθερης συζήτησης
Post Reply
User avatar
neoplan
Pentium IV
Posts: 1058
Joined: Mon Oct 08, 2007 10:55 pm
PWMN Wind Node ID: 188

Worm εκμεταλλεύεται γνωστή ευπάθεια για να μολύνει Ubiquity

Post by neoplan »

http://www.adslgr.com/forum/threads/935 ... 2-Ubiquity
Routers και άλλες ασύρματες συσκευές κατασκευής της Ubiquiti Networks, πρόσφατα έπεσαν θύματα μόλυνσης από "σκουλήκι" (worm) που Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. Όνομα: ubiquiti_airrouter_01-100662255-large.jpg Εμφανίσεις: 287 Μέγεθος: 10,5 KB ID: 170702εκμεταλλεύεται μια γνωστή εδώ και ένα χρόνο ευπάθεια απομακρυσμένης πρόσβασης. Η επίθεση τονίζει ένα σημαντικό ζήτημα της ασφάλειας των routers -την έλλειψη δυνατότητας αυτόματης αναβάθμισης και την αδιαφορία των χρηστών τους στο να αναβαθμίσουν στην τελευταία έκδοση του firmware τους.

Το σκουλήκι δημιουργεί έναν backdoor admin account (HTTP/HTTPS exploit που δεν απαιτεί πιστοποίηση) στις ευάλωτες συσκευές και μέσω αυτών σκανάρει και μολύνει άλλες, στο ίδιο ή σε διαφορετικό δίκτυο. Η επίθεση εντοπίστηκε σε συσκευές της σειράς airMAX M, αλλά και αυτές της σειράς AirMAX AC, airOS 802.11G, ToughSwitch, airGateway και airFiber που δεν έχουν αναβαθμιστεί είναι ευάλωτες σε αυτήν.

Το exploit είχε ανακοινωθεί ιδιωτικά μέσω ενός bug bounty προγράμματος στην Ubiquity και πατσαρίστηκε στις νεώτερες εκδόσεις του firmware των συσκευών της.

Σύμφωνα με την Symantec, μετά την επιτυχή μόλυνση το worm δημιουργεί έναν κανόνα στο firewall, αποτρέποντας την πρόσβαση του device admin στο web inteface, ενώ επιπλέον αντιγράφει τον εαυτό του στο rc.poststart script, για να επαναφορτωθεί μετά από κάθε reboot. Η Ubiquity έφτιαξε ένα Java-based app το οποίο μπορεί να αφαιρέσει αυτόματα την μόλυνση, και είναι διαθέσιμο για Windows, Linux και OS X.
Old Services by neoplan: http://proxy.pwmn || http://services.pwmn || http://clips.pwmn
http://movies.pwmn || http://dude.pwmn || http://hotspot.pwmn
other services: fakebook.pwmn, dc.pwmn, irc.pwmn, ntp.pwmn

Post Reply