Сетевое оборудование Ubiquiti атакует червь

24.05.2016 | 11:50

Компания Ubiquiti Networks, специализирующаяся на поставках продуктов для беспроводной передачи данных, борется с упорным червем, нацеленным на устаревшие прошивки AirOS. По экспертным данным, этот червь уже поразил сетевые устройства в Аргентине, Бразилии, Испании и США. Ubiquiti подтвердила факт распространения инфекции, используя пользовательский форум, при этом отметив, что на данный момент обнаружено два или три варианта сетевого червя. По свидетельству производителя, этот червь использует известную уязвимость в прошивках AirOS (5.6.2 и ниже), которая была устранена в начале прошлого года. Пользователям, не удосужившимся установить патч, рекомендуется произвести обновление.

«Проблема в том, что никто не латает свои системы», – заявил Нико Вайсман (Nico Waisman), вице-президент ИБ-компании Immunity. Эксперт наблюдает связанную с червем активность с момента появления первого отчета об атаке в середине мая. По словам Вайсмана, зловред быстро распространяется среди компаний, полагающихся на сетевую платформу Ubiquiti, в том числе атакует интернет-провайдеров, отели, высшие учебные заведения и военные учреждения. «Он заразил множество машин, – констатирует представитель Immunity. – Многим пришлось в экстренном порядке менять конфигурацию десятков своих устройств».

Данный червь примечателен тем, что не приводит в негодность зараженное Ubiquiti-устройство. В большинстве случаев он просто производит откат до заводских, дефолтных настроек на airMAX M, airMAX AC, ToughSwitch, airGateway или airFiber. Кроме того, этот червь использует непристойное имя, которым также заменяет логин и пароль пользователя при заражении. Глава ИБ-службы Ubiquiti Мэтт Харди (Matt Hardy) подчеркнул, что зловред поражает лишь плохо сконфигурированные сети, использующие уязвимое оборудование. Он также напомнил, что патч к бреши, обнаруженной в рамках bug bounty компании и ныне используемой червем, был без лишнего шума выпущен в 2015 году.

«Мы знаем об этой уязвимости и уже ее пропатчили, – заявил Харди журналистам Threatpost. – Узнав о существовании червя, Ubiquiti выпустила инструмент для его вычищения с инфицированных устройств». Со слов Харди, с середины мая безопасники компании зарегистрировали лишь несколько организаций, пораженных данным червем.

«Этот червь наносит вред, но все могло быть гораздо хуже, – отметил, со своей стороны, Вайсман. – Он инфицирует устройство. Он переписывает файл паролей, а затем блокирует порты на устройстве и пытается заразить другие машины. Наконец, червь откатывает настройки к дефолтным, и IT-администраторам потом приходится их восстанавливать на каждой зараженной машине». Сделав свое дело, червь, по словам эксперта, просто исчезает.
вредоносные программы, Уязвимости, Сетевое оборудование, Ubiquiti, червь
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код