Nieuws
image

Netwerkapparatuur Ubiquiti Networks aangevallen door worm

donderdag 19 mei 2016, 16:58 door Redactie, 9 reacties

Netwerkapparatuur van fabrikant Ubiquiti Networks is het doelwit van een worm die van oude lekken in het AirOS-besturingssysteem gebruikmaakt om zich te verspreiden. Er zouden inmiddels verschillende varianten van de worm in omloop zijn, zo heeft het bedrijf via het eigen forum gemeld.

In een forumposting stelt een medewerker dat er vorige week meerdere meldingen van besmette AirOS-apparaten zijn binnengekomen. Twee van de ontdekte varianten zouden een beveiligingslek in AirOS gebruiken dat vorig jaar al is gepatcht. Daarbij hoeft de worm niet over inloggegevens te beschikken om een netwerkapparaat te infecteren. Het draaien van een verouderde AirOS-versie waarbij de http/https-interface aan het internet is gekoppeld, is voldoende voor de worm om toe te slaan.

Eenmaal actief verwijdert de worm gebruikersnamen en wachtwoorden op de besmette systemen en vervangt die door een andere gebruikersnaam. Ook worden verschillende poorten geblokkeerd en zoekt de worm naar andere kwetsbare netwerkapparaten. Als laatste verwijdert de worm alle gemaakte instellingen en zet de fabrieksinstellingen terug, wat inhoudt dat beheerders alles opnieuw moeten configureren.

Onder andere organisaties in Argentinië, Brazilië, Spanje en de Verenigde Staten zijn door de worm getroffen. Op het forum van Ubiquiti Network klagen tal van beheerders die met besmette netwerkapparatuur zitten. Het netwerkbedrijf heeft inmiddels een tool gemaakt die de worm kan verwijderen en is er een Android-app verschenen die hierbij helpt. Daarnaast is er ook een nieuwe versie van AirOS uitgebracht die de worm verwijdert.

Reacties (9)
19-05-2016, 17:22 door Anoniem
Op het forum van Ubiquiti Network klagen tal van beheerders die met besmette netwerkapparatuur zitten.
Is dus gelijk duidelijk wie incompetent is. Het lijkt mij juist de taak van deze mensen om het deze systeem van juiste firmware te voorzien. Dus deze mensen moeten eerste maar eens bij hun zelf ten rade gaan waarom dit is gebeurd...

TheYOSH
19-05-2016, 18:04 door Anoniem
Geweldig hoor dat LINUX.
19-05-2016, 21:01 door ph-cofi
[meta] Sommige bezoekers van deze site proberen bij elk artikel een OS-flamewar uit te lokken. Een enkeling gebruikt scheldwoorden teneinde aan te geven dat de auteur het heel erg meent. Dit komt gefrustreerd over en doet afbreuk aan de informatiewaarde van de artikelen. Werkt positief op de amusementswaarde, net als geenstijl dat doet (ecce homo) [/meta]
19-05-2016, 21:25 door Anoniem
Door Anoniem:
Op het forum van Ubiquiti Network klagen tal van beheerders die met besmette netwerkapparatuur zitten.
Is dus gelijk duidelijk wie incompetent is. Het lijkt mij juist de taak van deze mensen om het deze systeem van juiste firmware te voorzien. Dus deze mensen moeten eerste maar eens bij hun zelf ten rade gaan waarom dit is gebeurd...

TheYOSH

Het is niet echt duidelijk welke versies van AirOS nou precies kwetsbaar zijn voor welke worm. Oude versies waren zeker
kwetsbaar maar er zijn mensen die beweren dat hun spullen die met 5.6.4 draaien (de momenteel stabiele versie) ook
besmet zijn. Er ontstaat dan uiteraard discussie of ze wellicht een besmet device gauw geupdate hebben waarna de
besmetting er nog op zit, of dat het toch anders zit. Gezien de afschuwelijke puinhoop die het nu op het forum van
Ubiquiti is, is het lastig om feiten en fabels te scheiden.

Daarnaast is het in deze business zo dat je zeker niet blindelings firmware moet updaten. Het is vaak een upgrade-only
pad (je kunt niet terug) en nieuwere versies hebben vaak restricties tov oudere versies. Bijvoorbeeld dat je de landcode
niet meer kunt veranderen, dat je DFS niet meer kunt uitzetten, dat je niet meer boven het maximale legale vermogen
kunt, enz enz.

Kortom bezint eer ge begint!
Het is in dit geval beter om te zorgen dat je beheer interface niet vanaf het gebruikersnetwerk en al helemaal niet vanaf
internet bereikbaar is. Dat kan gelukkig ook, met een apart management VLAN.
19-05-2016, 23:11 door Anoniem
Door Anoniem: Geweldig hoor dat LINUX.
Fijn dat je zo enthousiast bent!
20-05-2016, 00:08 door Anoniem
https://hackerone.com/reports/73480 ?
20-05-2016, 12:28 door Anoniem
Door Anoniem: Geweldig hoor dat LINUX.

Jammer dat je gewoon niks toevoegd aan het onderwerp. Is er echt een reden om zoiets zinloos hier te gaan plaatsen?
20-05-2016, 14:57 door Anoniem
tja, ubiquiti heeft een slechte naam op het gebied van veiligheid.
waarom apparaten uberhaupt van buitenaf benaderbaar moeten zijn ipv via een jumpserver vanuit de client (zodat deze ook achter diverse firewalls te beheren is) is mij een raadsel.

het meest veilige is dat de het apparaat naar huis belt en een beheerder OF rechtstreeks werkt (local network) OF via de 'naar-huis-bel-verbinding'...
Een default poort (of alle poorten open) naar internet toe is zo 1996...
En updates kun je afdekken door auto update te activeren zodra de appliance geactiveerd wordt, zoals bijvoorbeeld Cisco's dochter Meraki doet...
Dat die dan weer zelf gehacked worden waardoor ik nu dagelijks 200 spam mailtjes ontvang op mijn meraki adress... soi.
20-05-2016, 15:43 door Anoniem
Door Anoniem: tja, ubiquiti heeft een slechte naam op het gebied van veiligheid.
waarom apparaten uberhaupt van buitenaf benaderbaar moeten zijn ipv via een jumpserver vanuit de client (zodat deze ook achter diverse firewalls te beheren is) is mij een raadsel.

het meest veilige is dat de het apparaat naar huis belt en een beheerder OF rechtstreeks werkt (local network) OF via de 'naar-huis-bel-verbinding'...
Een default poort (of alle poorten open) naar internet toe is zo 1996...

Leuk verhaal maar dit is dus allemaal al het probleem van de installateur en niet van Ubquiti.
Ubiquiti biedt alle nodige mechanismen aan maar beheerders werken liever snel dan goed.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search