Worm infecteert niet-gepatchte draadloze Ubiquiti-apparaten

Routers en andere draadloze apparaten gemaakt door Ubiquiti Networks zijn onlangs besmet met een worm die misbruik maakt van een jaar oud beveiligingslek op afstand zonder toestemming.

De aanval benadrukt een van de grootste problemen met routerbeveiliging: het overgrote deel van hen heeft geen automatisch updatemechanisme en dat hun eigenaren ze zelden handmatig bijwerken.

De worm maakt een backdoor-beheerdersaccount aan op kwetsbare apparaten en gebruikt deze om andere apparaten op dezelfde en andere netwerken te scannen en te infecteren.

"Dit is een HTTP / HTTPS-exploit waarvoor geen authenticatie vereist is", zei Ubiquiti in een advies. "Het hebben van een radio op verouderde firmware en het blootstellen van de http / https-interface aan internet is voldoende om geïnfecteerd te raken."

Het bedrijf heeft aanvallen waargenomen op apparaten uit de airMAX M-serie, maar ook AirMAX AC-, airOS 802.11G-, ToughSwitch-, airGateway- en airFiber-apparaten met verouderde firmware worden beïnvloed.

Het beveiligingslek werd vorig jaar privé gemeld aan Ubiquiti via een bugbounty-programma en werd gepatcht in airMAX v5.6.2, airMAX AC v7.1.3, airOS 802.11G v4.0.4, TOUGHSwitch v1.3.2, airGateway v1.1.5, airFiber AF24 / AF24HD 2.2.1, AF5x 3.0.2.1 en AF5 2.2.1. Apparaten met nieuwere firmware dan die versies moeten worden beschermd.

Voor airMAX M-apparaten raadt het bedrijf een upgrade naar de nieuwste 5.6.5-versie aan. Deze versie verwijdert echter de ondersteuning voor rc.scripts, dus gebruikers die op die functionaliteit vertrouwen, moeten voorlopig bij 5.6.4 blijven.

Het gebruik van firewallfiltering om toegang op afstand tot de beheerinterface te beperken, wordt ook sterk aanbevolen.

Volgens onderzoekers van Symantec, nadat de worm de fout heeft misbruikt om een ​​backdoor-account te maken, voegt het een firewallregel toe om te voorkomen dat legitieme beheerders toegang krijgen tot de webgebaseerde beheerinterface. Het kopieert zichzelf ook naar het rc.poststart-script om ervoor te zorgen dat het blijft bestaan ​​tijdens het opnieuw opstarten van het apparaat.

"Tot dusver lijkt deze malware geen andere activiteiten uit te voeren dan alleen het creëren van een achterdeuraccount, het blokkeren van de toegang tot het apparaat en het verspreiden naar andere routers", aldus de onderzoekers van Symantec donderdag in een blogpost. 'Het is waarschijnlijk dat de aanvallers achter deze campagne de worm verspreiden voor de enorme uitdaging ervan. Het kan ook een teken zijn van een vroege, verkennende fase van een grotere operatie.'

Ubiquiti Networks heeft ook een op Java gebaseerde applicatie gemaakt die de infectie automatisch van de getroffen apparaten kan verwijderen. Het kan gebruikt worden op Windows, Linux en OS X.

Routerbeveiliging is bijzonder slecht in de consumentenmarkt, waar grote aantallen routers jarenlang kwetsbaar kunnen blijven voor bekende kwetsbaarheden en massaal kunnen worden gecompromitteerd om gedistribueerde denial-of-service (DDoS) -botnets te creëren of man-in-the- middelste aanvallen op hun gebruikers.

In het verleden zijn aanvallers erin geslaagd honderdduizenden thuisrouters te kapen door simpelweg standaard of algemene gebruikersnamen en wachtwoorden uit te proberen. Gebruikers moeten bij het installeren van hun router altijd het standaard beheerderswachtwoord wijzigen en externe toegang tot de beheerinterface uitschakelen, tenzij deze functionaliteit nodig is.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.