Besmette Ubiquiti EdgeRouters gebruikt voor stelen van wachtwoorden
Besmette Ubiquiti EdgeRouters zijn door aanvallers gebruikt voor het stelen van inloggegevens en wachtwoordhashes, proxyen van netwerkverkeer en uitvoeren van phishingaanvallen, zo waarschuwen de FBI, de Amerikaanse geheime dienst NSA, het Centrum voor Cybersecurity België, het Britse National Cyber Security Centre (NCSC), het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI), alsmede politiediensten uit Noorwegen, Zuid-Korea, Letland, Frankrijk, Brazilië, Polen en Litouwen (pdf). De autoriteiten roepen eigenaren op om een fabrieksreset van de routers uit te voeren.
In een gezamenlijke waarschuwing stellen de autoriteiten dat de aanvallen zijn uitgevoerd door een eenheid van de Russische geheime dienst, die ook bekendstaat als APT28 en Fancy Bear. Onlangs maakte de Amerikaanse overheid bekend dat het een botnet van besmette Ubiquiti EdgeRouters in de Verenigde Staten had opgeschoond, door de malware van de apparaten te verwijderen en firewall rules te wijzigen.
De diensten stellen dat EdgeRouters vaak met standaard inloggegevens worden verscheept en over beperkte of geen firewallbescherming beschikken. Daarnaast installeren EdgeRouters niet automatisch beveiligingsupdates, tenzij beheerders instellen om dit te doen. Volgens de diensten heeft APT28 besmette EdgeRouters gebruikt om inloggegevens te verzamelen, netwerkverkeer te proxyen en gespoofte landingpagina's te hosten. Zo gebruikten de aanvallers scripts voor het verzamelen van inloggegevens van specifieke webmailgebruikers.
Tevens zijn besmette EdgeRouters gebruikt voor het uitvoeren van NTLM relay-aanvallen en het stelen van wachtwoordhashes. In het geval van een relay-aanval kan een aanvaller met de onderschepte hash van het slachtoffer inloggen. Aanvallen zijn uitgevoerd tegen overheden, militaire organisaties en bedrijven in allerlei sectoren, aldus de diensten in hun gezamenlijke advisory.
Om toegang tot de routers te krijgen maken de aanvallers gebruik van standaard wachtwoorden en 'getrojaniseerde OpenSSH serverprocessen', afkomstig van al aanwezige malware. Deze malware is eerder gebruikt om de routers via standaard inloggegevens te compromitteren. Vervolgens worden legitieme bestanden op de router vervangen door getrojaniseerde versies.
Maatregelen
De overheidsdiensten roepen eigenaren van Ubiquiti EdgeRouters op om een hardwarematige fabrieksreset uit te voeren, de laatste firmware te installeren, standaard inloggegevens te wijzigen en firewall rules voor de WAN-interfaces in te stellen. In de advisory geven de diensten allerlei informatie om de aanwezigheid van malware op de routers te detecteren.ik vraag het voor een vriend, want ik heb nog geen meldingen ontvangen van ubiquiti over patchen van routers... wel wat rare dingen meegemaakt, maar dat krijg je ook met ubiquiti als je geen hackers hebt.
Ik heb er een keer voor gezorgd dat in mijn edgerouter die standaard gebruiker iig niet via ssh kon inloggen en voor ssh een andere gebruiker ingesteld. Later heb ik openwrt op die edgerouter gezet omdat ik van mening was dat u iquiti veel te traag met updates kwam.
Ik heb er een keer voor gezorgd dat in mijn edgerouter die standaard gebruiker iig niet via ssh kon inloggen en voor ssh een andere gebruiker ingesteld. Later heb ik openwrt op die edgerouter gezet omdat ik van mening was dat u iquiti veel te traag met updates kwam.
- gebruikers kunnen eenvoudig worden aangepast. in de webgui onder de knop users.
- ssh verhaal is pure onzin
- openwrt geinstalleerd omdat je er waarschijnlijk niet mee overweg kon. klikken is altijd makkelijker dan CLI
Edgerouters hadden ooit als doelgroep Wireless ISP's waar men er vanuit ging dat de gebruikers wisten wat ze deden.
Echter, doordat de edgerouter (en specifiek de edgerouter-x) zo krankzinnig goedkoop was gingen consumenten deze apparaten ook gebruiken waardoor er enorme aantallen zonder enige vorm van beveilging aan het internet gehangen werden met alle gevolgen van dien.
Ik heb er een keer voor gezorgd dat in mijn edgerouter die standaard gebruiker iig niet via ssh kon inloggen en voor ssh een andere gebruiker ingesteld. Later heb ik openwrt op die edgerouter gezet omdat ik van mening was dat u iquiti veel te traag met updates kwam.
Dat kan prima: eerst een ander admin account aanmaken en het ubnt account disablen of verwijderen; doe ik standaard.
Er draaien geen processen onder de ubnt user.
Het grootste nieuws is support voor WireGuard en een nieuw gestijlde webinterface. Wel nog steeds gebaseerd op `Linux 4.14.54-UBNT #1 SMP Fri Jan 19 09:50:17 UTC 2024 mips` (EdgeOS 3.0.0-rc.7), wat volgens mij vergelijkbaar is met de 2.x serie.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.