Вредонос создает бэкдор на скомпрометированном устройстве и заражает другие маршрутизаторы в сети.
Производитель сетевого оборудования Ubiquiti Networks сообщил о появлении червя, атакующего маршрутизаторы с устаревшими версиями прошивки. По словам представителей компании, червь использует эксплоит с целью инфицирования устройств Ubiquiti airOS M. Вредонос создает свою учетную запись на скомпрометированном устройстве и заражает другие маршрутизаторы, находящиеся внутри одной подсети, или в других сетях. Проблема затрагивает устройства, на которых установлены устаревшие неисправленные версии прошивки AirOS 5.6.2 и ниже:
airMAX M;
airMAX AC;
airOS 802.11G;
ToughSwitch;
airGateway;
airFiber.
Ubiquiti Networks выпустила патч для эксплуатируемой червем уязвимости еще год назад, однако многие пользователи до сих пор не применили его, за что сейчас и расплачиваются.
По словам экспертов Symantec, на первом этапе атаки червь инфицирует один маршрутизатор, а затем распространяется на другие устройства в сети. Вредонос пытается подключиться к устройству через протоколы HTTP/HTTPS. Проэксплуатировав уязвимость в прошивке, червь удаленно создает свою копию на маршрутизаторе, а также учетную запись с именем пользователя mother и паролем f u c k e r. Далее червь блокирует доступ администратора через web-интерфейс, копирует себя в файл rc.poststart и загружает предварительно скомпилированную версию библиотеки cURL. Затем вредоносная программа сбрасывает настройки скомпрометированного устройства до заводских и пытается инфицировать другие маршрутизаторы в сети.
Как отмечают эксперты, помимо создания бэкдора, блокировки доступа к устройству и распространения на другие маршрутизаторы, червь не демонстрирует никакой активности. По мнению специалистов, авторы вредоносной программы могут использовать ее в качестве первой фазы более масштабной операции.
Ubiquiti Networks уже выпустила инструмент для удаления червя. По данным компании, от деятельности вредоноса пострадало только незначительное число организаций, использующих сетевое оборудование Ubiquiti Networks.