Изследователи предупреждават, че десетки хиляди устройства за малкия/домашния офис (SOHO), продавани от Ubiquiti Inc., са уязвими в отворения интернет от петгодишен бъг.

През януари 2019 г. експертът по широколентов интернет Джим Троутман предупреди, че открит порт в десетки джаджи за интернет на нещата (IoT) на Ubiquiti се използва при атаки за отказ на услуга (DoS). На основната уязвимост, CVE-2017-0938, беше присвоена „висока“ оценка 7,5 по скалата CVSS.

Седем месеца след това изследователите от Rapid7 все още успяват да открият близо 500 000 уязвими устройства. И сега, въпреки че Ubiquiti отдавна е признала и закърпила проблема, около 20 000 устройства остават уязвими, отбелязва Check Point Research в нова публикация в блога си.

„Можем да видим, че някои от тях са били компрометирани“, казва Радослав Мадей, ръководител на екипа за изследване на уязвимости в Check Point Software. „Освен това съм направил само доста елементарно  на  отпечатъци от устройствата. Напълно възможно е да има и повече от тях [компрометирани].“

Check Point също така предупреди, че освен че могат да бъдат използвани в SOHO ботнет за усилване на DoS атаки, компрометираните устройства могат да доведат и до изтичане на потенциално чувствителни данни.

Компрометирани камери и рутери могат да изнесат данни

При проучване на джаджи на Ubiquiti като G4 Instant Camera – камера с интернет връзка и двупосочно аудио – Check Point всъщност идентифицира допълнителен уязвим процес, освен този, разкрит преди пет години.

Първоначално откритият процес на порт 10001 е протоколът за откриване на Ubiquiti, използван за комуникация между устройството и контролера CloudKey+. Новооткритият привилегирован процес, на порт 7004, също се използва за комуникация между устройствата.

Използвайки подправени пакети, изследователите на Check Point откриха, че комуникацията нито с CloudKey+, нито със свързаните към него устройства не изисква никакъв вид удостоверяване. Освен това съобщенията, които те са получили в отговор на своите пингове, са включвали конкретна информация за устройствата, както и имената и местоположението на техните собственици.

„Всъщност в няколко случая имаше име и фамилия на човек, както и това, което се оказа, че е мястото, където се намира рутерът Ubiquiti“, спомня си Мадей. „Цялата тази информация … беше необходим само един пакет от мен, за да получа този отговор.

„Ако исках да атакувам тази организация, щеше да ми е лесно, като знаех вида на рутера, който имат, името на лицето, точната версия на софтуера и служебния им адрес. [Бих могъл] да намеря данните им за контакт и да им се обадя с думите: „Хей, обаждам се от вашия интернет доставчик. Трябва да направя някаква поддръжка. Осигурете ми достъп до административния панел. Защото мога да се легитимирам пред този човек, като му дам цялата информация, от която се нуждае“.

Проблемът с IoT

Пачнатите продукти на Ubiquiti имат защитна мярка срещу интернет базирани атаки: Те не отговарят на пингове, идващи от широката мрежа, а само от вътрешни IP адреси.

Въпреки лесната достъпност на такава проста поправка, десетки хиляди засегнати продукти в природата остават непоправени. Изглежда, че това има много по-малко общо със самата Ubiquiti, отколкото със сигурността на IoT като цяло.

„Свикнахме да пачваме  машините си с Windows и MacBook, мобилните си телефони и какво ли още не, но все още не сме свикнали с факта, че трябва да се грижим и за нашите IoT устройства, било то Wi-Fi рутери, камери, прахосмукачки, хладилници и перални машини“, казва Мадей.

„Разбира се, – добавя той, – въпросът е: до каква степен крайният потребител изобщо трябва да се притеснява за това. Живеем във време, в което всички устройства трябва да имат активирани автоматични актуализации по подразбиране. Не мисля, че това трябва да е грижа на крайния потребител.“