Маршрутизаторы Ubiquiti Networks атакует опасный червь

червь уязвимость маршрутизатор бэкдор эксплуатация
Маршрутизаторы Ubiquiti Networks атакует опасный червь
червь уязвимость маршрутизатор бэкдор эксплуатация

Вредонос создает бэкдор на скомпрометированном устройстве и заражает другие маршрутизаторы в сети.

Производитель сетевого оборудования Ubiquiti Networks сообщил о появлении червя, атакующего маршрутизаторы с устаревшими версиями прошивки. По словам представителей компании, червь использует эксплоит с целью инфицирования устройств Ubiquiti airOS M. Вредонос создает свою учетную запись на скомпрометированном устройстве и заражает другие маршрутизаторы, находящиеся внутри одной подсети, или в других сетях. Проблема затрагивает устройства, на которых установлены устаревшие неисправленные версии прошивки AirOS 5.6.2 и ниже:

  • airMAX M;

  • airMAX AC;

  • airOS 802.11G;

  • ToughSwitch;

  • airGateway;

  • airFiber.

Ubiquiti Networks выпустила патч для эксплуатируемой червем уязвимости еще год назад, однако многие пользователи до сих пор не применили его, за что сейчас и расплачиваются.

По словам экспертов Symantec, на первом этапе атаки червь инфицирует один маршрутизатор, а затем распространяется на другие устройства в сети. Вредонос пытается подключиться к устройству через протоколы HTTP/HTTPS. Проэксплуатировав уязвимость в прошивке, червь удаленно создает свою копию на маршрутизаторе, а также учетную запись с именем пользователя mother и паролем f u c k e r. Далее червь блокирует доступ администратора через web-интерфейс, копирует себя в файл rc.poststart и загружает предварительно скомпилированную версию библиотеки cURL. Затем вредоносная программа сбрасывает настройки скомпрометированного устройства до заводских и пытается инфицировать другие маршрутизаторы в сети.

Как отмечают эксперты, помимо создания бэкдора, блокировки доступа к устройству и распространения на другие маршрутизаторы, червь не демонстрирует никакой активности. По мнению специалистов, авторы вредоносной программы могут использовать ее в качестве первой фазы более масштабной операции.

Ubiquiti Networks уже выпустила инструмент для удаления червя. По данным компании, от деятельности вредоноса пострадало только незначительное число организаций, использующих сетевое оборудование Ubiquiti Networks.