Сетевое оборудование Ubiquiti атакует червь

Компания Ubiquiti Networks, специализирующаяся на поставках продуктов для беспроводной передачи данных, борется с упорным червем, нацеленным на устаревшие прошивки AirOS. По экспертным данным, этот червь уже поразил сетевые устройства в Аргентине, Бразилии, Испании и США.

Ubiquiti подтвердила факт распространения инфекции, используя пользовательский форум, при этом отметив, что на данный момент обнаружено два или три варианта сетевого червя. По свидетельству производителя, этот червь использует известную уязвимость в прошивках AirOS (5.6.2 и ниже), которая была устранена в начале прошлого года. Пользователям, не удосужившимся установить патч, рекомендуется произвести обновление.

«Проблема в том, что никто не латает свои системы», — заявил Нико Вайсман (Nico Waisman), вице-президент ИБ-компании Immunity. Эксперт наблюдает связанную с червем активность с момента появления первого отчета об атаке в середине мая. По словам Вайсмана, зловред быстро распространяется среди компаний, полагающихся на сетевую платформу Ubiquiti, в том числе атакует интернет-провайдеров, отели, высшие учебные заведения и военные учреждения. «Он заразил множество машин, — констатирует представитель Immunity. — Многим пришлось в экстренном порядке менять конфигурацию десятков своих устройств».

Данный червь примечателен тем, что не приводит в негодность зараженное Ubiquiti-устройство. В большинстве случаев он просто производит откат до заводских, дефолтных настроек на airMAX M, airMAX AC, ToughSwitch, airGateway или airFiber. Кроме того, этот червь использует непристойное имя, которым также заменяет логин и пароль пользователя при заражении.

Глава ИБ-службы Ubiquiti Мэтт Харди (Matt Hardy) подчеркнул, что зловред поражает лишь плохо сконфигурированные сети, использующие уязвимое оборудование. Он также напомнил, что патч к бреши, обнаруженной в рамках Bug Bounty компании и ныне используемой червем, был без лишнего шума выпущен в 2015 году. «Мы знаем об этой уязвимости и уже ее пропатчили, — заявил Харди журналистам Threatpost. — Узнав о существовании червя, Ubiquiti выпустила инструмент для его вычищения с инфицированных устройств». Со слов Харди, с середины мая безопасники компании зарегистрировали лишь несколько организаций, пораженных данным червем.

«Этот червь наносит вред, но все могло быть гораздо хуже, — отметил со своей стороны Вайсман. — Он инфицирует устройство. Он переписывает файл паролей, а затем блокирует порты на устройстве и пытается заразить другие машины. Наконец, червь откатывает настройки к дефолтным, и IT-администраторам потом приходится их восстанавливать на каждой зараженной машине». Сделав свое дело, червь, по словам эксперта, просто исчезает.

Источник