Маршрутизаторы Ubiquiti Networks атакует опасный червь

Маршрутизаторы Ubiquiti Networks атакует опасный червь

Вредонос создает бэкдор на скомпрометированном устройстве и заражает другие маршрутизаторы в сети.

image

Производитель сетевого оборудования Ubiquiti Networks сообщил о появлении червя, атакующего маршрутизаторы с устаревшими версиями прошивки. По словам представителей компании, червь использует эксплоит с целью инфицирования устройств Ubiquiti airOS M. Вредонос создает свою учетную запись на скомпрометированном устройстве и заражает другие маршрутизаторы, находящиеся внутри одной подсети, или в других сетях. Проблема затрагивает устройства, на которых установлены устаревшие неисправленные версии прошивки AirOS 5.6.2 и ниже:

  • airMAX M;

  • airMAX AC;

  • airOS 802.11G;

  • ToughSwitch;

  • airGateway;

  • airFiber.

Ubiquiti Networks выпустила патч для эксплуатируемой червем уязвимости еще год назад, однако многие пользователи до сих пор не применили его, за что сейчас и расплачиваются.

По словам экспертов Symantec, на первом этапе атаки червь инфицирует один маршрутизатор, а затем распространяется на другие устройства в сети. Вредонос пытается подключиться к устройству через протоколы HTTP/HTTPS. Проэксплуатировав уязвимость в прошивке, червь удаленно создает свою копию на маршрутизаторе, а также учетную запись с именем пользователя mother и паролем f u c k e r. Далее червь блокирует доступ администратора через web-интерфейс, копирует себя в файл rc.poststart и загружает предварительно скомпилированную версию библиотеки cURL. Затем вредоносная программа сбрасывает настройки скомпрометированного устройства до заводских и пытается инфицировать другие маршрутизаторы в сети.

Как отмечают эксперты, помимо создания бэкдора, блокировки доступа к устройству и распространения на другие маршрутизаторы, червь не демонстрирует никакой активности. По мнению специалистов, авторы вредоносной программы могут использовать ее в качестве первой фазы более масштабной операции.

Ubiquiti Networks уже выпустила инструмент для удаления червя. По данным компании, от деятельности вредоноса пострадало только незначительное число организаций, использующих сетевое оборудование Ubiquiti Networks.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle