image

Ubiquiti-producten kwetsbaar door ongepatcht beveiligingslek

vrijdag 17 maart 2017, 11:39 door Redactie, 5 reacties

Onderzoekers hebben een beveiligingslek in de netwerkproducten van Ubiquiti Networks onthuld waardoor een aanvaller de apparaten en in het ergste geval het gehele netwerk kan overnemen. Een update is echter nog niet beschikbaar. Het gaat om command-injectie in de beheerdersinterface.

Een aanvaller kan dit op afstand uitbuiten door gebruikers een link te laten openen of een kwaadaardige pagina te laten bezoeken. "De gehele aanval is via een enkele GET-request uit te voeren en is zeer eenvoudig, aangezien er geen bescherming tegen cross-site request forgery (csrf) is", aldus Thomas Weber van beveiligingsbedrijf SEC Consult. "Als het Ubiquiti-apparaat als router of firewall fungeert, kan de aanvaller via deze kwetsbaarheid het gehele netwerk overnemen."

Het bedrijf waarschuwde Ubiquiti Networks, maar dit bleek een lastig proces. De kwetsbaarheid werd op 22 november vorig jaar gerapporteerd. Ubiquiti reageerde dat de kwetsbaarheid al door iemand was gerapporteerd. Het probleem zou in een volgende firmware-update verholpen worden. Een datum wanneer deze patch zou verschijnen kon echter niet worden gegeven. In januari vroegen de onderzoekers opnieuw wanneer de update zou verschijnen. Ubiquiti liet weten dat de demonstratie van de aanval niet werkte.

Vervolgens lieten de onderzoekers een video zien, waarna Ubiquiti het probleem kon reproduceren. Het bleek toch om een nieuwe kwetsbaarheid te gaan. Eind januari meldde Ubiquiti dat de kwetsbaarheid zo snel als mogelijk zouden worden verholpen. De netwerkfabrikant werd vervolgens in februari meerdere keren om een statusupdate gevraagd, maar het bleef stil. Ook toen de onderzoekers aangaven het lek openbaar te zullen maken kwam er geen reactie. Als tijdelijke oplossing wordt aangeraden om gebruikers- en netwerktoegang te beperken.

Reacties (5)
17-03-2017, 12:02 door Anoniem
Wat een slechte service zeg...
17-03-2017, 12:04 door Anoniem
Ik zou er niet snel producten van aanschaffen. In het verleden ook wel eens wat gerapporteerd waar geen antwoord op is gekomen en andere zaken welke pas na 6 maanden nog eens werden verholpen.
17-03-2017, 13:41 door Anoniem
Ben zelf erg fan van mijn ubiquiti spul maar de follow up van ubiquiti is ronduit slecht te noemen..schade
17-03-2017, 19:29 door Anoniem
Er is nu anders wel een update!
18-03-2017, 08:48 door soeperees
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.