Onderzoekers hebben een beveiligingslek in de netwerkproducten van Ubiquiti Networks onthuld waardoor een aanvaller de apparaten en in het ergste geval het gehele netwerk kan overnemen. Een update is echter nog niet beschikbaar. Het gaat om command-injectie in de beheerdersinterface.
Een aanvaller kan dit op afstand uitbuiten door gebruikers een link te laten openen of een kwaadaardige pagina te laten bezoeken. "De gehele aanval is via een enkele GET-request uit te voeren en is zeer eenvoudig, aangezien er geen bescherming tegen cross-site request forgery (csrf) is", aldus Thomas Weber van beveiligingsbedrijf SEC Consult. "Als het Ubiquiti-apparaat als router of firewall fungeert, kan de aanvaller via deze kwetsbaarheid het gehele netwerk overnemen."
Het bedrijf waarschuwde Ubiquiti Networks, maar dit bleek een lastig proces. De kwetsbaarheid werd op 22 november vorig jaar gerapporteerd. Ubiquiti reageerde dat de kwetsbaarheid al door iemand was gerapporteerd. Het probleem zou in een volgende firmware-update verholpen worden. Een datum wanneer deze patch zou verschijnen kon echter niet worden gegeven. In januari vroegen de onderzoekers opnieuw wanneer de update zou verschijnen. Ubiquiti liet weten dat de demonstratie van de aanval niet werkte.
Vervolgens lieten de onderzoekers een video zien, waarna Ubiquiti het probleem kon reproduceren. Het bleek toch om een nieuwe kwetsbaarheid te gaan. Eind januari meldde Ubiquiti dat de kwetsbaarheid zo snel als mogelijk zouden worden verholpen. De netwerkfabrikant werd vervolgens in februari meerdere keren om een statusupdate gevraagd, maar het bleef stil. Ook toen de onderzoekers aangaven het lek openbaar te zullen maken kwam er geen reactie. Als tijdelijke oplossing wordt aangeraden om gebruikers- en netwerktoegang te beperken.
Deze posting is gelocked. Reageren is niet meer mogelijk.