Sårbarhet i Ubiquity airOS observert aktivt utnyttet

Publisert: 24.05.2016 | Sist endret: 11.01.2017

NorCERT har mottatt informasjon om en sårbarhet i Ubiquity airOS enheter som er observert aktivt utnyttet.

En sårbarhet i Ubiquity airOS enheter er observert aktivt utnyttet. Ubiquity airOS enheter er sårbare for denne sårbarheten hvis enhetens web-grensesnitt (HTTP/HTTPS) er tilgjengelig fra internett. Som standard er dette vanligvis aktivert.

En angriper som får tilgang til web-grensesnittet vil kunne ta kontroll over enheten med administrator rettigheter uten å autentisere seg. Det er også rapportert om at utnyttede enheter videre kan kompromittere andre sårbare enheter på det samme nettverket.

Påvirkede produkter

Alle produkter med tidligere firmware enn følgende versjoner:

  • airMAX M (Including airRouter)
    • 5.5.11 XM/TI
    • 5.5.10u2 XM
    • 5.6.2+ XM/XW/TI
  • AirMAX AC
    • 7.1.3+
  • airOS 802.11G
    • 4.0.4
  • ToughSwitch
    • 1.3.2
  • airGateway
    • 1.1.5+
  • airFiber
    • AF24/AF24HD 2.2.1+
    • AF5x 3.0.2.1+
    • AF5 2.2.1+

NSM NorCERT anbefaler

NorCERT anbefaler å deaktivere tilgang til web-grensesnittet fra internett samt begrense tilgang til administrasjonsgrensesnittet via brannmur-regler. Enheter med eldre firmware anbefales oppdatert med tilgjengelige sikkerhetsoppdateringer. Hjelpeprogram for fjerning av ondsinnet programvare finnes på leverandørens nettsider [1].

Kilder:

  1. http://community.ubnt.com/t5/airMAX-Updates-Blog/Important-Security-Notice-and-airOS-5-6-5-Release/ba-p/1565949
  2. http://www.symantec.com/connect/blogs/thousands-ubiquiti-airos-routers-hit-worm-attacks
  3. http://arstechnica.com/security/2016/05/foul-mouthed-worm-takes-control-of-wireless-isps-around-the-globe/