Ormen inficerer upræcise trådløse Ubiquiti-enheder

Routere og andre trådløse enheder, der er lavet af Ubiquiti Networks, er for nylig blevet inficeret af en orm, der udnytter en år gammel ekstern, uautoriseret adgangssårbarhed.

Angrebet fremhæver et af de største problemer med routersikkerhed: det faktum, at langt de fleste af dem ikke har en automatisk opdateringsmekanisme, og at deres ejere næppe nogensinde opdaterer dem manuelt.

Ormen opretter en bagdøradministratorkonto på sårbare enheder og bruger dem derefter til at scanne efter og inficere andre enheder på det samme og andre netværk.

"Dette er en HTTP / HTTPS-udnyttelse, der ikke kræver godkendelse," sagde Ubiquiti i en rådgivende. "Bare det at have en radio på forældet firmware og have sin http / https-grænseflade udsat for Internettet er nok til at blive inficeret."

Virksomheden har observeret angreb mod airMAX M Series-enheder, men AirMAX AC, airOS 802.11G, ToughSwitch, airGateway og airFiber-enheder, der kører forældet firmware, er også berørt.

Sårbarheden blev rapporteret privat til Ubiquiti sidste år gennem et bug-bounty-program og blev opdateret i airMAX v5.6.2, airMAX AC v7.1.3, airOS 802.11G v4.0.4, TOUGHSwitch v1.3.2, airGateway v1.1.5, airFiber AF24 / AF24HD 2.2.1, AF5x 3.0.2.1 og AF5 2.2.1. Enheder, der kører firmware nyere end disse versioner, skal beskyttes.

For airMAX M-enheder anbefaler virksomheden at opgradere til den nyeste version 5.6.5. Denne version fjerner dog understøttelse af rc.scripts, så brugere, der er afhængige af denne funktionalitet, bør holde sig til 5.6.4 i øjeblikket.

Brug af firewall-filtrering til at begrænse fjernadgang til administrationsgrænsefladen anbefales også stærkt.

Ifølge forskere fra Symantec tilføjer den, efter at ormen udnytter fejlen til at oprette en bagdørskonto, en firewall-regel for at forhindre legitime administratorer i at få adgang til den webbaserede styringsgrænseflade. Det kopierer også sig selv til rc.poststart-scriptet for at sikre, at det vedvarer på tværs af enhedens genstarter.

"Indtil videre ser denne malware ikke ud til at udføre andre aktiviteter ud over at oprette en bagdørskonto, blokerer adgangen til enheden og spreder sig til andre routere," sagde forskerne fra Symantec i et blogindlæg torsdag. "Det er sandsynligt, at angriberen bag denne kampagne muligvis spreder ormen for den store udfordring af det. Det kan også være et bevis på en tidlig, efterforskende fase af en større operation."

Ubiquiti Networks har også oprettet et Java-baseret program, der automatisk kan fjerne infektionen fra berørte enheder. Det kan bruges på Windows, Linux og OS X.

Routersikkerhed er især dårlig på forbrugermarkedet, hvor et stort antal routere kan forblive sårbare over for kendte sårbarheder i årevis og kan kompromitteres en masse for at oprette distribuerede denial-of-service (DDoS) botnets eller til at starte man-in-the- mellemangreb mod deres brugere.

I fortiden har angribere formået at kapre hundreder af tusinder af hjemme routere ved blot at prøve standard eller almindelige brugernavne og adgangskoder. Brugere skal altid ændre standardadgangskodeadministratoren, når de installerer deres router og skal deaktivere fjernadgang til dens administrationsgrænseflade, medmindre denne funktionalitet er nødvendig.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.