Ubiquiti Networks

Компания

Ubiquiti Networks
Производитель сетевых решений для провайдеров беспроводного доступа.
300px

2024: Хакеры установили вредоносное ПО на роутеры по всему миру и создали глобальную платформу кибершпионажа

15 февраля 2024 года стало известно о том, что правоохранительные органы Германии совместно с американскими спецслужбами ликвидировали сеть кибершпионажа, действовавшую в глобальном масштабе. В составе ботнета были объединены частные и корпоративные маршрутизаторы по всему миру.

Как сообщает журнал Der Spiegel, за организацией шпионской сети стоит кибергруппировка Fancy Bear, также известная как APT28, Sofacy, Pawn storm, Sednit и Strontium. Она действует как минимум с 2004 года. Американские спецслужбы утверждают, что Fancy Bear якобы связана с российскими хакерами. Группировка осуществляет атаки на государственные, информационные, военные и другие структуры. В Германии Fancy Bear стала известна широкой публике в 2015 году благодаря организации нападения на Бундестаг.

Ликвидирована сеть кибершпионажа, использовавшая частные и корпоративные маршрутизаторы по всему миру

По данным ФБР, в ходе шпионской кампании участники Fancy Bear атаковали роутеры, на которых использовались пароли администратора по умолчанию. Затем на такие устройства было загружено вредоносное программное обеспечение. Утверждается, что объектами шпионской деятельности были правительства, военные, силовые ведомства и корпорации США и других стран.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

Министерство юстиции СЩА заявляет, что для заражения маршрутизаторов применялся зловред Moobot. Мишенью становились сетевые устройства Ubiquiti под управлением Edge OS. В ходе проведенной операции германские и американские правоохранительные органы заблокировали возможность удаленного взаимодействия с инфицированными роутерами. В результате, группировка Fancy Bear потеряла контроль над шпионским ботнетом.

«
Тесное партнерство ФБР с частным сектором имело решающее значение для выявления и устранения этой угрозы, которая затронула интересы нашей национальной безопасности на территории США и за рубежом, — говорится в сообщении ведомства.[1]
»

2017: Ubiquiti наказали за пренебрежение к защите устройств

Компания SEC Consult опубликовала информацию о серьёзных уязвимостях более чем в сорока разработках производителя сетевого оборудования Ubiquiti Networks. Уязвимость была обнаружена ещё в ноябре прошлого года в рамках программы HackerOne.

Производитель был немедленно проинформирован о выявленной ошибке, однако прошло немало времени прежде чем начался выпуск патчей. К настоящему времени ошибки исправлены далеко не во всех разработках Ubiquiti, тем не менее, SEC Consult посчитали возможным раскрыть имеющуюся у них информацию, поскольку вендор слишком долго и вяло реагировал на запросы исследователей. [2]

Офис компании Ubiquiti Networks

Эксперты SEC Consult выявили в административном интерфейсе нескольких устройств Ubiquiti возможность проведения инъекции команд в администраторском интерфейсе. Согласно описанию, злоумышленнику достаточно заманить пользователя на специально подготовленный веб-сайт или заставить каким-то образом нажать на вредоносную ссылку; вся атака может быть произведена с помощью одного GET-запроса, и, поскольку никакой защиты от межсайтовой подделки запроса не реализовано, произвести такую атаку чрезвычайно просто.

Злоумышленник также может использовать привязку портов или обратную оболочку (reverse shell) для подключения к устройству, а поскольку веб-сервис программной оболочки работает с root-привилегиями, существует возможность смены пароля доступа к устройству. Пользователи с низкими привилегиями, созданные в веб-интерфейсе программной оболочки, также могут произвести атаку.

Если устройство Ubiquiti функционирует в качестве роутера или фаерволла, злоумышленник с помощью одной такой атаки может получить контроль над всей локальной сетью. Источником проблемы является древний скрипт, до сих пор используемый в прошивках устройств Ubiquiti - pingtest_action.cgi, написанный на версии PHP/FI 2.0.1 от 1997 года.

В этом видеоролике демонстрируется практическая возможность проведения атаки: [3]

Уязвимость присутствует в прошивках следующих устройств:

  • TS-8-PRO - v1.3.3 (SW)
  • (Rocket) M5 - v5.6.9/v6.0 (XM)
  • (PicoStationM2HP) PICOM2HP - v5.6.9/v6.0 (XM)
  • (NanoStationM5) NSM5 - v5.6.9/v6.0 (XM)

На основании имеющихся у SEC Consult данных, эксперты указывают, что ещё четыре десятка устройств того же производителя вероятнее всего подвержены выявленной уязвимости. Брешь была выявлена в рамках программы поиска уязвимостей HackerOne в ноябре прошлого года.

22 ноября Ubiquiti уведомили об обнаруженной уязвимости. В ответ вендор заявил, что это дубликат уже известной уязвимости, хотя позднее выяснилось, что это не соответствует действительности. Вендор пообещал исправить уязвимость «в следующем стабильном релизе» прошивок устройств.

В январе исследователи SEC Consult попытались выяснить статус исправлений. В Ubiquiti заявили, что у них уже есть сходное сообщение о существующей ошибке, и что предоставленный SEC Consult экспериментальный эксплойт «не работает».

Им объяснили, как этот эксплойт может и должен работать, в ответ со стороны Ubiquiti снова было заявлено, что, дескать, они и ранее получали сообщение о подобной ошибке и что экспериментальный эксплойт не работает и не имеет никакого смысла». Только после того, как в Ubiquiti было переслано видео, в котором во всех подробностях показывалось, как можно произвести атаку, вендор признал, что эксплойт действительно рабочий, и что выявленная SEC Consult проблема не является дубликатом. Исправления были обещаны в ближайшее время, однако после этого Ubiquiti перестали отвечать на запросы представителей SEC Consult, и даже на сообщение о планируемой публикации сведений об уязвимости реакции не последовало.

16 марта состоялась публикация. 21 марта Ubiquiti спешно выпустили часть исправлений. Представители Ubiquiti на сайте Reddit признали наличие проблем с внутренними коммуникациями и обработкой информации, поступающей от HackerOne, и пообещали как можно скорее исправить положение. [4]

Примечания