Компания Ubiquiti Networks, специализирующаяся на поставках сетевого оборудования для интернет-провайдеров, с ноября пытается избавиться от критического бага инъекции команд в административном интерфейсе более 40 продуктов.

Об этой уязвимости Ubiquiti предупредили исследователи из SEC Consult — через форму Bug Bounty компании на HackerOne. Вендор вначале пометил этот отчет как дубль, а затем пообещал решить проблему в очередной стабильной версии софта. Поскольку переписка затянулась, а патч так и не вышел, SEC Consult решила обнародовать свою находку, что и сделала на прошлой неделе.

В ответ на запрос Threatpost о комментарии представитель Ubiquiti заявил следующее: «Мы очень серьезно относимся к сетевой безопасности и уже запустили процесс устранения этой уязвимости во всех затронутых продуктах». По свидетельству вендора, на настоящий момент пропатчены 37 из 44 уязвимых продуктов. Латание бреши началось 3 февраля, с выпуском обновления для airMAX 11ac, и оставшиеся патчи, по словам собеседника Threatpost, не заставят себя ждать.

«Как только апдейт появится, мы сообщим об этом через новостную ленту, чтобы напомнить клиентам о необходимости обновить прошивку, — сказал представитель Ubiquiti. — Мы также улучшаем процесс рассмотрения отчетов о проблемах с безопасностью с целью ускорения ответных действий».

В тематической ветке на Reddit сотрудник Ubiquiti пишет, что в задержке повинно рассогласование внутренней регистрации уязвимостей и подачи отчетов через HackerOne. «Мы пересматриваем процесс пересылки обновлений во внутренней системе регистрации заявок их авторам, воспользовавшимся HackerOne, с тем, чтобы такого больше не повторилось и чтобы удостовериться, что все новости, сообщаемые заявителями, попадали к соответствующим специалистам по разработке, — гласит эта запись. — Согласен, все выглядит из рук вон плохо, однако могу заверить, что это несколько искаженное представление об обработке отчетов об уязвимостях. В данном случае мы оплошали с оповещением, но отнюдь не потому, что проигнорировали проблему».

Четыре месяца ожидания патча — случай из ряда вон выходящий, однако еще более вопиющим является тот факт, что уязвимость возникла из-за использования в интерфейсе PHP-скрипта двадцатилетней давности. Согласно SEC Consult, скрипт pingtest_action.cgi, оказавшийся главным виновником, использует PHP/FI 2.0.1 — версию, вышедшую в 1997 году.

«Эксплойт возможен, если пользователя удастся убедить перейти по специальной ссылке или зайти на вредоносный сайт в ходе серфинга, — пишут исследователи. — Всю атаку можно провести с помощью одного-единственного GET-запроса, причем без особых усилий, так как защита от CSRF отсутствует».

Отсутствие защиты от CSRF и XSS в продуктах Ubiquiti эксперты раскрыли в конце января. Эта проблема затрагивает большинство продуктов из нового списка, однако вендор на тот момент заявил SEC Consult, что риск невелик и патча не заслуживает.

Баг инъекции команд, по словам исследователей, открывает админ-интерфейс для ряда кибератак. Так, например, злоумышленник может подключиться к уязвимому устройству через проброс портов или обратный шелл и даже изменить пароль, так как этот сервис работает как root. «Эту атаку можно провести также с минимальными, read-only-привилегиями, создав такую учетную запись в веб-интерфейсе, — предупреждают исследователи. — Если Ubiquiti-устройство работает как роутер или даже брандмауэр, эксплуатация данной уязвимости позволит захватить контроль над всей сетью».

Категории: Аналитика, Уязвимости