Изследователи предупреждават, че десетки хиляди устройства за малкия/домашния офис (SOHO), продавани от Ubiquiti Inc., са уязвими в отворения интернет от петгодишен бъг.
През януари 2019 г. експертът по широколентов интернет Джим Троутман предупреди, че открит порт в десетки джаджи за интернет на нещата (IoT) на Ubiquiti се използва при атаки за отказ на услуга (DoS). На основната уязвимост, CVE-2017-0938, беше присвоена „висока“ оценка 7,5 по скалата CVSS.
Седем месеца след това изследователите от Rapid7 все още успяват да открият близо 500 000 уязвими устройства. И сега, въпреки че Ubiquiti отдавна е признала и закърпила проблема, около 20 000 устройства остават уязвими, отбелязва Check Point Research в нова публикация в блога си.
„Можем да видим, че някои от тях са били компрометирани“, казва Радослав Мадей, ръководител на екипа за изследване на уязвимости в Check Point Software. „Освен това съм направил само доста елементарно на отпечатъци от устройствата. Напълно възможно е да има и повече от тях [компрометирани].“
Check Point също така предупреди, че освен че могат да бъдат използвани в SOHO ботнет за усилване на DoS атаки, компрометираните устройства могат да доведат и до изтичане на потенциално чувствителни данни.
При проучване на джаджи на Ubiquiti като G4 Instant Camera – камера с интернет връзка и двупосочно аудио – Check Point всъщност идентифицира допълнителен уязвим процес, освен този, разкрит преди пет години.
Първоначално откритият процес на порт 10001 е протоколът за откриване на Ubiquiti, използван за комуникация между устройството и контролера CloudKey+. Новооткритият привилегирован процес, на порт 7004, също се използва за комуникация между устройствата.
Използвайки подправени пакети, изследователите на Check Point откриха, че комуникацията нито с CloudKey+, нито със свързаните към него устройства не изисква никакъв вид удостоверяване. Освен това съобщенията, които те са получили в отговор на своите пингове, са включвали конкретна информация за устройствата, както и имената и местоположението на техните собственици.
„Всъщност в няколко случая имаше име и фамилия на човек, както и това, което се оказа, че е мястото, където се намира рутерът Ubiquiti“, спомня си Мадей. „Цялата тази информация … беше необходим само един пакет от мен, за да получа този отговор.
„Ако исках да атакувам тази организация, щеше да ми е лесно, като знаех вида на рутера, който имат, името на лицето, точната версия на софтуера и служебния им адрес. [Бих могъл] да намеря данните им за контакт и да им се обадя с думите: „Хей, обаждам се от вашия интернет доставчик. Трябва да направя някаква поддръжка. Осигурете ми достъп до административния панел. Защото мога да се легитимирам пред този човек, като му дам цялата информация, от която се нуждае“.
Пачнатите продукти на Ubiquiti имат защитна мярка срещу интернет базирани атаки: Те не отговарят на пингове, идващи от широката мрежа, а само от вътрешни IP адреси.
Въпреки лесната достъпност на такава проста поправка, десетки хиляди засегнати продукти в природата остават непоправени. Изглежда, че това има много по-малко общо със самата Ubiquiti, отколкото със сигурността на IoT като цяло.
„Свикнахме да пачваме машините си с Windows и MacBook, мобилните си телефони и какво ли още не, но все още не сме свикнали с факта, че трябва да се грижим и за нашите IoT устройства, било то Wi-Fi рутери, камери, прахосмукачки, хладилници и перални машини“, казва Мадей.
„Разбира се, – добавя той, – въпросът е: до каква степен крайният потребител изобщо трябва да се притеснява за това. Живеем във време, в което всички устройства трябва да имат активирани автоматични актуализации по подразбиране. Не мисля, че това трябва да е грижа на крайния потребител.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.