Злоумышленники эксплуатируют брешь сетевого оборудования Ubiquiti для проведения DDoS-атак. В настоящее время взломщики только начали экспериментировать с незащищенными портами, однако специалисты прогнозируют разрушительные сценарии, если производитель не устранит брешь.

Впервые о проблеме сообщил Джим Траутман (Jim Trautman), сооснователь одной из американских точек обмена трафиком. По его словам, эксплойт в устройствах Ubiquiti грозит DDoS-атаками и потерей контроля над девайсом. Специалисты компании Rapid7, которые решили разобраться в ситуации, оценили количество уязвимых хостов не менее чем в 485 тыс.

Производитель не подтвердил возможность перехватить таким образом управление, однако риск DDoS действительно существует. Угроза кроется в функции, которая позволяет системным администраторам пеленговать сетевые устройства Ubiquiti через запрос на порт 10001.

Ответный пакет данных включает имя точки доступа, модель и версию прошивки, IP- и MAC-адрес, в некоторых случаях — расширенный сервисный идентификатор (ESSID). В результате устройство отправляет 206 байт информации в ответ на 56-байтовый запрос. Специалисты называют это амплификацией, или усилением атаки. Рост в 3,7 раза не вызовет серьезных проблем, однако, по словам специалистов, злоумышленники могут увеличить эту цифру до 30-35. В результате на жертву обрушится шквал мощностью более 1 Тбит/с, что сравнимо с прошлогодней рекордной атакой на GitHub.

Аналитики установили, что основную часть уязвимых устройств составляет оборудование, используемое интернет-провайдерами: Wi-Fi-антенны, беспроводные точки доступа, сетевые мосты. Под угрозой оказались такие продукты Ubiquiti, как NanoStation (172 тыс. девайсов), AirGrid (131 тыс.), LiteBeam (43 тыс.), PowerBeam (40 тыс.) и другие. Географически они разбросаны по всему миру, однако больше всего уязвимых хостов обнаружилось в Бразилии, Испании, Польше и США.

Примечательно, что ранее до многих хостов в этом списке уже добрались белые хакеры. В прошлом году активисты переименовали десятки тысяч незащищенных роутеров, чтобы привлечь внимание их владельцев. По меньшей мере 17 тыс. таких устройств так и остаются уязвимыми по сей день.

По словам исследователей, сейчас злоумышленники только прощупывают почву, чтобы найти оптимальный подход к атакам. Представители коммуникационной индустрии подтверждают, что брешь еще не привела к серьезным сбоям. Во многом это связано с техническими ограничениями — уязвимые устройства не могут одновременно работать со множеством пакетов, благодаря чему взломщикам трудно повысить фактор амплификации. Тем не менее производитель призвал сетевых администраторов заблокировать порт 10001 до тех пор, пока инженеры не выпустят патч.

Категории: DoS-атаки, Уязвимости