Примерно 485 000 устройств Ubiquiti уязвимы перед новой проблемой, которую уже эксплуатируют преступники. В основном под атакой находятся точки доступа, Wi-Fi антенны, мосты, в том числе: NanoStation (172 000), AirGrid (131 000), LiteBeam (43 000), PowerBeam (40 000), а также NanoBeam (21 000). Проблема коснулась устройств по всему миру, но больше всего атак пришлось на Бразилию, США, Испанию и Польшу.
Первым проблему еще на прошлой неделе заметил сотрудник NNENIX (Northern New England Neutral Internet Exchange) Джим Тротман (Jim Troutman). Он обнаружил, что неизвестные ищут устройства Ubiquiti и обращаются к порту 10001 для амплификации DDoS. Дело в том, что если атакующие адресуют порту 10001 небольшие пакеты размером 56 байт, то устройство отражает на целевой адрес пакет размером уже 206 байт (амплификация 3,67).
Теперь предупреждение о проблеме также выпустили специалисты компании Rapid7. Эксперты объясняют, что злоумышленники используют встроенную службу обнаружения, работающую на порту 10001. С ее помощью можно находить стройства Ubiquiti в интернете и закрытых сетях. Более того, исследователи предупреждают, что таким образом можно усилить атаку в 30-35 раз, что представляет серьезную угрозу и может применяться для реализации DDoS-атак мощностью более 1 Тб/сек.
Хорошая новость заключается в том, что по данным Rapid7, в настоящий момент использовать службу обнаружения для по-настоящему массовых атак практически невозможно, и устройства Ubiquiti могут отражать лишь небольшие порции DDoS-трафика.
Тем не менее, инженеры Ubiquiti уже сообщили, что уже работают над устранением проблемы и готовят патч. В настоящий момент, в качестве временной защитной меры, специалисты советуют блокировать порты 10001.
Хотя попытки использования устройств Ubiquiti для амплификации DDoS были обнаружены специалистам лишь недавно, эксперты Rapid7 пишут, что первые атаки такого рода были произведены еще в июле 2018 года, когда владельцы устройств сообщали о проблемах с SSH-сервисами.
Интересно, что из 485 000 устройств 17 000 также подверглись дефейсу: их хостнеймы были изменены на HACKED-ROUTER-HELP-SOS. То есть эти устройства, очевидно, работают с устаревшими версиями прошивок. Нужно заметить, что это не первый случай дефайса такого рода. К примеру, в январе 2018 года неизвестные сменили hostname десятков тысяч устройств на подобные комбинации, и тогда в основном пострадали устройства MikroTik и Ubiquiti.
