image

486.000 Ubiquiti-apparaten kwetsbaar voor dos-aanvallen

maandag 4 februari 2019, 14:22 door Redactie, 2 reacties

Meer dan 486.000 netwerkapparaten van fabrikant Ubiquiti zijn kwetsbaar voor dos-aanvallen via poort 10001 waardoor beheerders geen toegang meer kunnen krijgen en zijn te gebruiken voor het versterken van ddos-aanvallen. Een update die het probleem verhelpt is nog niet beschikbaar.

Beheerders krijgen in afwachting van een oplossing het advies om poort 10001 te blokkeren. Een engineer genaamd Jim Troutman waarschuwde vorige week via Twitter dat Ubiquiti-apparaten via poort 10001 werden aangevallen. Berichten over dergelijke aanvallen gaan terug vorig jaar juli. Verschillende beheerders lieten toen weten dat ze hun apparaten niet meer via ssh en http/https konden beheren.

Nu blijkt dat het mogelijk is om een aanval uit te voeren waardoor Ubiquiti-apparaten met airOS niet meer werken totdat ze worden herstart. Dit kan echter voor problemen zorgen met de IPSec VPN NAT-T voor gebruikers, aldus Troutman. Daarnaast is het mogelijk om ddos-aanvallen via kwetsbare Ubiquiti-apparaten te versterken. Volgens securitybedrijf Rapid7 bedraagt de versterkingsfactor 30 tot 35.

Onderzoekers van het bedrijf voerden een scan uit en troffen meer dan 486.000 kwetsbare netwerkapparaten op internet aan. Volgens onderzoeker Jon Hart is het mogelijk om met de bandbreedte van kwetsbare apparaten een ddos-aanval van meer dan 1Tbps uit te voeren, wat de meeste netwerken niet aan zullen kunnen. Ubiquiti heeft een onderzoek naar de kwetsbaarheid aangekondigd, maar laat niet weten wanneer er een update beschikbaar komt.

Reacties (2)
05-02-2019, 09:14 door Anoniem
Disable udp broadcasts to port 10001

set service ubnt-discover disable

https://community.ubnt.com/t5/EdgeRouter/Disable-udp-broadcasts-to-port-10001/td-p/471753
05-02-2019, 09:19 door PietdeVries
Het gaat om een specifieke familie van Ubiquiti als ik het goed lees - de airOS/airMAX.

There has been some discussion lately about a bug in airOS which can result in management access to airOS devices becoming inoperable until these devices are rebooted. This issue appears to be caused by external access to airOS devices using port 10001. As a temporary workaround for this issue while it is being investigated and resolved by the development team, network operators can block port 10001 at the network perimeter.

To our current knowledge, this issue cannot be used to gain control of network devices or to create a DDoS attack. If this situation changes, this notice will be updated.


https://community.ubnt.com/t5/airMAX-General-Discussion/airOS-airMAX-and-management-access/td-p/2654023
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.