Gusano infecta dispositivos inalámbricos Ubiquiti sin parchear

Los enrutadores y otros dispositivos inalámbricos fabricados por Ubiquiti Networks han sido infectados recientemente por un gusano que explota una vulnerabilidad de acceso remoto no autorizado de un año.

El ataque destaca uno de los principales problemas con la seguridad del enrutador: el hecho de que la gran mayoría de ellos no tienen un mecanismo de actualización automática y que sus propietarios casi nunca los actualizan manualmente.

El gusano crea una cuenta de administrador de puerta trasera en dispositivos vulnerables y luego los usa para buscar e infectar otros dispositivos en la misma red y en otras.

"Este es un exploit HTTP / HTTPS que no requiere autenticación", dijo Ubiquiti en un aviso. "Simplemente tener una radio con firmware desactualizado y tener su interfaz http / https expuesta a Internet es suficiente para infectarse".

La compañía ha observado ataques contra dispositivos de la serie M de airMAX, pero los dispositivos AirMAX AC, airOS 802.11G, ToughSwitch, airGateway y airFiber que ejecutan firmware obsoleto también se ven afectados.

La vulnerabilidad se informó de manera privada a Ubiquiti el año pasado a través de un programa de recompensas de errores y se parchó en airMAX v5.6.2, airMAX AC v7.1.3, airOS 802.11G v4.0.4, TOUGHSwitch v1.3.2, airGateway v1.1.5, airFiber AF24 / AF24HD 2.2.1, AF5x 3.0.2.1 y AF5 2.2.1. Los dispositivos que ejecutan firmware más reciente que esas versiones deben estar protegidos.

Para los dispositivos airMAX M, la compañía recomienda actualizar a la última versión 5.6.5. Sin embargo, esta versión elimina el soporte para rc.scripts, por lo que los usuarios que confían en esa funcionalidad deben seguir con 5.6.4 por el momento.

También se recomienda utilizar el filtro de firewall para restringir el acceso remoto a la interfaz de administración.

Según los investigadores de Symantec, después de que el gusano explota la falla para crear una cuenta de puerta trasera, agrega una regla de firewall para impedir que los administradores legítimos accedan a la interfaz de administración basada en la Web. También se copia en el script rc.poststart para garantizar que persista en los reinicios del dispositivo..

"Hasta ahora, este malware no parece realizar ninguna otra actividad más allá de crear una cuenta de puerta trasera, bloquear el acceso al dispositivo y propagarse a otros enrutadores", dijeron los investigadores de Symantec en una publicación de blog el jueves. "Es probable que los atacantes detrás de esta campaña puedan estar propagando el gusano por el simple desafío de la misma. También podría ser evidencia de una fase temprana y exploratoria de una operación más grande".

Ubiquiti Networks también ha creado una aplicación basada en Java que puede eliminar automáticamente la infección de los dispositivos afectados. Se puede usar en Windows, Linux y OS X.

La seguridad del enrutador es particularmente mala en el mercado de consumo, donde un gran número de enrutadores puede permanecer vulnerable a vulnerabilidades conocidas durante años y puede verse comprometido en masa para crear botnets distribuidas de denegación de servicio (DDoS) o para lanzar personal en el sitio. ataques medios contra sus usuarios.

En el pasado, los atacantes lograron secuestrar cientos de miles de enrutadores domésticos simplemente probando nombres de usuario y contraseñas comunes o predeterminados. Los usuarios siempre deben cambiar la contraseña de administrador predeterminada al instalar su enrutador y deben deshabilitar el acceso remoto a su interfaz de administración a menos que se necesite esta funcionalidad.

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.