Главная » Новости

Производитель сетевого оборудования Ubiquiti не может исправить баг

Александр Панасенко 20 Марта 2017 - 12:58
...
Производитель сетевого оборудования Ubiquiti не может исправить баг

Специалисты австрийской компании SEC Consult рассказали о странной истории, связанной с известным производителем Ubiquiti Networks, который разрабатывает различные аппаратные и софтверные решения для провайдеров и предприятий.

Еще в ноябре 2016 года исследователи обнаружили серьезную проблему в устройствах Ubiquiti, которая позволяет атакующему полностью перехватить контроль над девайсом. Специалисты сообщили об уязвимости производителю, воспользовавшись официальной bug bounty программой на HackerOne, но разработчики Ubiquiti повел себя весьма странно. Вначале представители компании заявили, что уже знают о баге и отказались принимать заявку исследователей. Затем заявка все же была принята, а проблема признана, но патча для уязвимости до сих пор нет, потому что связь с сотрудниками Ubiquiti оборвалась еще в январе 2017 года. В настоящий момент специалисты SEC Consult уже окончательно отчаялись вновь установить контакт с Ubiquiti и решили публично раскрыть информацию о проблеме, сообщает xakep.ru.

Исследователи пишут, что файл pingtest_action.cgi на ряде устройств Ubiquiti содержит уязвимость типа command injection. Баг возник в силу того, что разработчики использовали для создания встроенного сервера устройств невероятно старую версию PHP – это PHP 2.0.1, вышедшая в 1997 году, то есть двадцать лет назад! Но есть две новости: хорошая и плохая. Хорошая: к счастью, проблему command injection может эксплуатировать только авторизованный пользователь. Плохая: данная уязвимость не является единственной. Также прошивка устройств Ubiquiti уязвима перед CSRF-атаками, что позволяет фальсифицировать действия пользователя.

Устроить CSRF-атаку на уязвимое устройство совсем несложно. Исследователи пишут, атака может быть реализована посредством одного GET-запроса, и для этого достаточно заманить жертву на вредоносный сайт. Так как защиты от CSRF у девайсов Ubiquiti нет, злоумышленник сможет обратиться к админке устройства и выполнить произвольные действия, за спиной легитимного пользователя.

Демонстрацию атаки исследователи записали на видео, однако proof-of-concept эксплоит пока не был опубликован. Исследователи все-таки решили дождаться выхода патча, надеясь, что огласка привлечет внимание к проблеме.

Эксперты SEC Consult опробовали атаку против четырех девайсов Ubiquiti и пришли к выводу, что такая же проблема существует еще как минимум у 38 моделей устройств. Список можно увидеть ниже.

Протестированы:

  • TS-8-PRO, прошивка 3.3 (SW)
  • (Rocket) M5, прошивка v5.6.9/v6.0 (XM)
  • (PicoStationM2HP) PICOM2HP, прошивка 6.9/v6.0 (XM)
  • (NanoStationM5) NSM5, прошивка6.9/v6.0 (XM)

Могут быть уязвимы:

  • Ubiquiti Networks AF24 (Версия прошивки: AF24 v3.2)
  • Ubiquiti Networks AF24HD (Версия прошивки: AF24 v3.2)
  • Ubiquiti Networks AF-2X (Версия прошивки: AF2X v3.2 )
  • Ubiquiti Networks AF-3X (Версия прошивки: AF3X v3.2)
  • Ubiquiti Networks AF5 (Версия прошивки: AF5 v3.2)
  • Ubiquiti Networks AF5U (Версия прошивки: AF5 v3.2)
  • Ubiquiti Networks AF-5X (Версия прошивки: AF5X v3.2.1)
  • Ubiquiti Networks AG-PRO-INS (Версия прошивки: AirGWP v1.1.7)
  • Ubiquiti Networks airGateway (Версия прошивки: AirGW v1.1.7)
  • Ubiquiti Networks airGateway-LR (Версия прошивки: AirGW v1.1.7)
  • Ubiquiti Networks AMG-PRO (Версия прошивки: AirGWP v1.1.7)
  • Ubiquiti Networks LBE-5AC-16-120 (Версия прошивки: WA v7.2.4)
  • Ubiquiti Networks LBE-5AC-23 (Версия прошивки: WA v7.2.4)
  • Ubiquiti Networks LBE-M5-23 (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks NBE-5AC-16 (Версия прошивки: WA v7.2.4)
  • Ubiquiti Networks NBE-5AC-19 (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks NBE-M2-13 (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks NBE-M5-16 (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks NBE-M5-19 (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks PBE-5AC-300 (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks PBE-5AC-300-ISO (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks PBE-5AC-400 (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks PBE-5AC-400-ISO (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks PBE-5AC-500 (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks PBE-5AC-500-ISO (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks PBE-5AC-620 (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks PBE-M2-400 (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks PBE-M5-300 (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks PBE-M5-300-ISO (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks PBE-M5-400 (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks PBE-M5-400-ISO (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks PBE-M5-620 (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks R5AC-Lite (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks R5AC-PRISM (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks R5AC-PTMP (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks R5AC-PTP (Версия прошивки: XC v7.2.4)
  • Ubiquiti Networks RM2-Ti (Версия прошивки: XW v5.6.9/v6.0)
  • Ubiquiti Networks RM5-Ti (Версия прошивки: XW v5.6.9/v6.0)
Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В 2023 году кибервымогателям выплатили рекордный миллиард долларов
Екатерина Быстрова 25 Апреля 2024 - 19:53
Вирусы-вымогателиВирусы-шифровальщики Корпорации Positive Technologies
В 2023 году кибервымогателям выплатили рекордный миллиард долларов

По данным исследования Positive Technologies, 2023 год ознаменовался рекордными выкупами операторам программ-вымогателей, а также значительным увеличением масштабов и сложности атак шифровальщиков. Выплаты вымогателям в прошлом году составили более 1 млрд долларов, что является самым высоким показателем за всю историю.

Больше всего от атак вымогателей в 2023 году пострадали медицинские организации (18% всех инцидентов пришлось именно на медицинскую отрасль), что привело к закрытию некоторых учреждений, перенаправлению карет скорой помощи в другие больницы и задержке в предоставлении медицинских услуг.

Так, с серьезным ущербом в результате атаки вымогателей из группировки Rhysida столкнулась американская медицинская компания Prospect Medical Holdings. Российская лабораторная служба «Хеликс», по данным ТАСС, также подверглась кибератаке с помощью шифровальщика.

Злоумышленники пытались нарушить работу лабораторных комплексов и спровоцировать утечку персональных данных. В результате атаки произошла задержка в выдаче результатов исследований клиентам. Потери чувствительных данных удалось избежать.

В четверку самых атакуемых шифровальщиками отраслей по итогам года также вошли организации из сферы науки и образования (14%), государственные учреждения (12%) и промышленные организации (12%). Большинство шифровальщиков распространялось с помощью электронной почты (62%) и путем компрометации компьютеров и серверов (35%).

По данным исследования Positive Technologies, в 2023 году злоумышленники переключились с простого шифрования на угрозу публикации украденных данных. Выплаты вымогателям перевалили за 1 миллиард долларов, что стало самым высоким показателем за всю историю. Так, в результате кибератаки одна из крупнейших компаний в сфере гостиничного и развлекательного бизнеса Caesars Entertainment понесла убытки в размере 15 млн долларов. Компания согласилась выплатить выкуп вымогателям, которые угрожали опубликовать украденные данные клиентов из программы лояльности.

«В 2023 году акцент сместился с шифрования на использование украденных данных для получения денежной выгоды через вымогательство, — отмечает Ирина Зиновкина, руководитель исследовательской группы Positive Technologies. — Этот тренд появился сформировался в связи с тем, что организации начали внедрять более комплексные меры защиты, — с точки зрения злоумышленников, это делает атаки шифровальщиков менее эффективными. Кроме того, отказ от шифрования и переход к вымогательству через угрозу публикации украденных данных может быть обусловлен выпуском специалистами по безопасности различных дешифраторов».

Напомним, на днях Positive Technologies также выложила исследование, согласно которому злоумышленники могут попросить 70 млн долларов за возврат украденных ПДн.

А позавчера мы рассказывали о разработчиках шифровальщика, вымогающих деньги у эксплуататоров детей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Разработчики шифровальщика вымогают деньги у эксплуататоров детей
Новость
Разработчики шифровальщика вымогают деньги у эксплуататоров...
Критический баг в WordPress-плагине Ultimate Member допускает SQL-инъекцию
Новость
Критический баг в WordPress-плагине Ultimate Member допускае...
С сегодняшнего дня в России работает запрет на популяризацию VPN
Новость
С сегодняшнего дня в России работает запрет на популяризацию...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6