Home » Más de 485,000 dispositivos Ubiquiti vulnerables a nuevos ataques
CIBERSEGURIDAD

Más de 485,000 dispositivos Ubiquiti vulnerables a nuevos ataques

Mapa Ubiquiti

Ubiquiti Networks está trabajando en una solución para un problema de seguridad recientemente descubierto que afecta a los dispositivos que los atacantes han estado explotando desde julio del año pasado.

El problema afecta a más de 485,000 dispositivos, de acuerdo con un escaneo de internet realizado por la firma estadounidense de seguridad cibernética Rapid7.

Los ataques de explotación masiva fueron vistos por primera vez la semana pasada por Jim Troutman, cofundador del punto de intercambio de Internet NNENIX (Intercambio de Internet Neutral del Norte de Nueva Inglaterra).

Troutman dijo que los actores de amenazas han estado usando un servicio que se ejecuta en el puerto 10.001 de los dispositivos Ubiquiti para llevar a cabo débiles ataques de amplificación DDoS.

Los atacantes envían pequeños paquetes de 56 bytes al puerto 10.001 en los dispositivos Ubiquiti, que reflejan y transmiten los paquetes a la dirección IP del objetivo amplificada a un tamaño de 206 bytes (factor de amplificación de 3.67).

Los intentos de explotación están en sus etapas incipientes, y los atacantes todavía están experimentando con la mejor manera de llevar a cabo los ataques. No se han producido grandes interrupciones causadas por ataques DDoS a través de este vector de ataque, según informaron expertos de la industria a ZDNet.

En una alerta de seguridad publicada por Rapid7, el investigador principal de seguridad Jon Hart explicó que los atacantes están explotando un “servicio de descubrimiento” que se ejecuta en el puerto 10.001, que Ubiquiti Networks incluyó en sus dispositivos para que la compañía y los proveedores de servicios de Internet (ISP) puedan usarlo para encontrarlo. Equipos de ubiquiti en internet y en redes cerradas.

Hart dijo que el factor de amplificación de este servicio puede aumentar a 30-35, lo que representa el peligro real de que los atacantes puedan encontrar una forma de armar este servicio y llevar a cabo ataques DDoS por encima de 1Tbps, lo que Hart describió como “una gran cantidad de tráfico”. A todos menos a la infraestructura más fortificada “.

El investigador de Rapid7 dijo que la única buena noticia en este momento es que este protocolo de descubrimiento “no parece sufrir respuestas de paquetes múltiples”, lo que dificulta la explotación por el momento, ya que los atacantes solo pueden “reflejar” pequeñas cantidades de DDoS tráfico.

Sin embargo, los hackers nunca deben ser subestimados, una razón por la cual Ubiquiti Networks anunció la semana pasada que estaba preparando un parche, incluso si en su forma actual el protocolo no parece ser tan perjudicial.

“Para nuestro conocimiento actual, esta cuestión no se puede utilizar para obtener el control de los dispositivos de red o para crear un ataque DDoS”, el fabricante de hardware dijo .

“Como una solución temporal para este problema mientras el equipo de desarrollo lo está investigando y resolviendo, los operadores de red pueden bloquear el puerto 10001 en el perímetro de la red”, agregó Ubiquiti Networks.

También como efecto secundario, cuando un atacante está tratando de usar este servicio para los ataques DDoS, el acceso remoto al dispositivo a través de su servicio SSH también se corta.

Si bien recientemente se detectaron grandes intentos de explotación, Hart de Rapid7 dijo que los primeros ataques que intentaban explotar el servicio de descubrimiento de Ubiquiti se habían detectado en julio pasado, cuando algunos propietarios de dispositivos de Ubiquiti informaron problemas para acceder a los servicios SSH en sus dispositivos.

LA MAYORÍA DE LOS DISPOSITIVOS AFECTADOS SON EQUIPOS WISP DE ALTO GRADO.

Hart dice que este puerto de descubrimiento no es específico de un dispositivo Ubiquiti, y se encuentra en una amplia variedad de equipos del proveedor, como NanoStation (172,000 dispositivos), AirGrid (131,000 dispositivos), LiteBeam (43,000 dispositivos), PowerBeam (40,000) ), y otros.

La mayoría de los dispositivos son antenas WiFi, puentes y puntos de acceso, un equipo que generalmente se encuentra en la red de ISP inalámbricos (WISP). Hart dice que si bien los dispositivos que exponen el puerto 10,001 se encuentran en todo el mundo, una gran cantidad de ellos se acumulan en Brasil, Estados Unidos, España y Polonia.

Mapa de dispositivos Ubiquiti afectados, exponiendo puerto 10.001
Imagen: Rapid7

De los 485,000 dispositivos que exponen este puerto, 17,000 también han sido desfigurados, según Hart, con nombres de host no estándar. Esto significa que lo más probable es que estos dispositivos estén ejecutando un firmware desactualizado.

Los dispositivos Ubiquiti han sido desfigurados regularmente en los últimos años. Por ejemplo, en enero de 2018 , un pirata informático cambió los nombres de host de más de 36,000 dispositivos Ubiquiti a nombres como “Servidor FTP HACKED”, “HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED” o “HACKED-ROUTER-HELP -SOS-HAD-DEFAULT-PASSWORD “.

X