Worm infetta i dispositivi wireless Ubiquiti senza patch

I router e altri dispositivi wireless realizzati da Ubiquiti Networks sono stati recentemente infettati da un worm che sfrutta una vulnerabilità di accesso remoto non autorizzata di un anno.

L'attacco evidenzia uno dei principali problemi con la sicurezza del router: il fatto che la stragrande maggioranza di essi non ha un meccanismo di aggiornamento automatico e che i loro proprietari non li aggiornano quasi mai manualmente.

Il worm crea un account amministratore backdoor su dispositivi vulnerabili e quindi li utilizza per cercare e infettare altri dispositivi sulla stessa e su altre reti.

"Questo è un exploit HTTP / HTTPS che non richiede autenticazione", ha dichiarato Ubiquiti in un advisory. "Basta avere una radio su firmware obsoleto e avere la sua interfaccia http / https esposta a Internet è sufficiente per essere infettati."

La società ha osservato attacchi contro i dispositivi airMAX serie M, ma anche i dispositivi AirMAX AC, airOS 802.11G, ToughSwitch, airGateway e airFiber con firmware obsoleto sono interessati.

La vulnerabilità è stata segnalata privatamente a Ubiquiti lo scorso anno attraverso un programma di bug bounty ed è stata patchata in airMAX v5.6.2, airMAX AC v7.1.3, airOS 802.11G v4.0.4, TOUGHSwitch v1.3.2, airGateway v1.1.5, airFiber AF24 / AF24HD 2.2.1, AF5x 3.0.2.1 e AF5 2.2.1. I dispositivi con firmware più recente di quelle versioni dovrebbero essere protetti.

Per i dispositivi airMAX M, la società raccomanda l'aggiornamento all'ultima versione 5.6.5. Tuttavia, questa versione rimuove il supporto per rc.scripts, quindi gli utenti che fanno affidamento su tale funzionalità dovrebbero attenersi per il momento al 5.6.4.

Si consiglia inoltre di utilizzare il filtro firewall per limitare l'accesso remoto all'interfaccia di gestione.

Secondo i ricercatori di Symantec, dopo che il worm ha sfruttato il difetto per creare un account backdoor, aggiunge una regola firewall per impedire agli amministratori legittimi di accedere all'interfaccia di gestione basata sul Web. Si copia anche nello script rc.poststart per garantire che persista durante i riavvii del dispositivo.

"Finora questo malware non sembra svolgere altre attività oltre alla creazione di un account backdoor, al blocco dell'accesso al dispositivo e alla diffusione ad altri router", hanno detto i ricercatori Symantec in un post sul blog giovedì. "È probabile che gli aggressori alla base di questa campagna stiano diffondendo il worm per la sua pura sfida. Potrebbe anche essere la prova di una prima fase esplorativa di un'operazione più ampia."

Ubiquiti Networks ha anche creato un'applicazione basata su Java in grado di rimuovere automaticamente l'infezione dai dispositivi interessati. Può essere utilizzato su Windows, Linux e OS X.

La sicurezza del router è particolarmente negativa nel mercato dei consumatori, dove un gran numero di router può rimanere vulnerabile per anni a vulnerabilità note e può essere compromesso in massa per creare botnet di denial-of-service (DDoS) distribuiti o per lanciare man-in-the- attacchi di mezzo contro i loro utenti.

In passato, gli aggressori sono riusciti a dirottare centinaia di migliaia di router domestici semplicemente provando nomi utente e password predefiniti o comuni. Gli utenti devono sempre modificare la password dell'amministratore predefinita durante l'installazione del router e disabilitare l'accesso remoto alla sua interfaccia di gestione a meno che non sia necessaria questa funzionalità.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.