Un ver infecte les périphériques sans fil Ubiquiti non corrigés

Les routeurs et autres appareils sans fil fabriqués par Ubiquiti Networks ont récemment été infectés par un ver qui exploite une vulnérabilité d'accès non autorisé à distance vieille d'un an.

L'attaque met en évidence l'un des principaux problèmes de sécurité du routeur: le fait que la grande majorité d'entre eux ne disposent pas d'un mécanisme de mise à jour automatique et que leurs propriétaires ne les mettent presque jamais à jour manuellement.

Le ver crée un compte d'administrateur de porte dérobée sur les appareils vulnérables, puis les utilise pour rechercher et infecter d'autres appareils sur le même réseau et d'autres réseaux.

"Il s'agit d'un exploit HTTP / HTTPS qui ne nécessite pas d'authentification", a déclaré Ubiquiti dans un avis. "Le simple fait d'avoir une radio sur un firmware obsolète et d'avoir son interface http / https exposée à Internet suffit pour être infecté."

La société a observé des attaques contre les appareils airMAX M Series, mais les appareils AirMAX AC, airOS 802.11G, ToughSwitch, airGateway et airFiber exécutant un firmware obsolète sont également affectés..

La vulnérabilité a été signalée en privé à Ubiquiti l'année dernière via un programme de correction de bogues et a été corrigée dans airMAX v5.6.2, airMAX AC v7.1.3, airOS 802.11G v4.0.4, TOUGHSwitch v1.3.2, airGateway v1.1.5, airFiber AF24 / AF24HD 2.2.1, AF5x 3.0.2.1 et AF5 2.2.1. Les appareils exécutant un micrologiciel plus récent que ces versions doivent être protégés.

Pour les appareils airMAX M, la société recommande la mise à niveau vers la dernière version 5.6.5. Cependant, cette version supprime la prise en charge de rc.scripts, donc les utilisateurs qui s'appuient sur cette fonctionnalité devraient s'en tenir à 5.6.4 pour le moment.

L'utilisation du filtrage par pare-feu pour restreindre l'accès à distance à l'interface de gestion est également fortement recommandée.

Selon des chercheurs de Symantec, après que le ver a exploité la faille pour créer un compte de porte dérobée, il ajoute une règle de pare-feu afin d'empêcher les administrateurs légitimes d'accéder à l'interface de gestion Web. Il se copie également dans le script rc.poststart afin de s'assurer qu'il persiste pendant les redémarrages de l'appareil.

"Jusqu'à présent, ce malware ne semble pas effectuer d'autres activités que la création d'un compte de porte dérobée, le blocage de l'accès à l'appareil et la propagation à d'autres routeurs", ont déclaré les chercheurs de Symantec dans un article de blog jeudi. "Il est probable que les attaquants à l'origine de cette campagne propagent le ver pour le simple défi qu'il représente. Cela pourrait également être la preuve d'une phase exploratoire précoce d'une opération plus vaste."

Ubiquiti Networks a également créé une application basée sur Java qui peut supprimer automatiquement l'infection des appareils affectés. Il peut être utilisé sur Windows, Linux et OS X.

La sécurité des routeurs est particulièrement mauvaise sur le marché grand public, où un grand nombre de routeurs peuvent rester vulnérables aux vulnérabilités connues pendant des années et peuvent être compromis en masse pour créer des botnets distribués par déni de service (DDoS) ou pour lancer l'homme dans la attaques moyennes contre leurs utilisateurs.

Dans le passé, les attaquants ont réussi à détourner des centaines de milliers de routeurs domestiques en essayant simplement les noms d'utilisateur et les mots de passe par défaut ou courants. Les utilisateurs doivent toujours changer le mot de passe administrateur par défaut lors de l'installation de leur routeur et doivent désactiver l'accès à distance à son interface de gestion, sauf si cette fonctionnalité est nécessaire.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.