image

FBI doorzoekt honderden besmette Ubiquiti-routers en wijzigt firewall rules

vrijdag 16 februari 2024, 09:50 door Redactie, 16 reacties

De FBI heeft met een gerechtelijk bevel honderden besmette Ubiquiti Edge-routers in de Verenigde Staten doorzocht, aanwezige malware verwijderd en firewall rules aangepast om verder misbruik te voorkomen. Volgens de Amerikaanse autoriteiten werden de routers door de Russische geheime dienst GRU gebruikt bij het aanvallen van overheden, militaire organisaties en bedrijven in zowel de Verenigde Staten als andere landen.

De GRU had de routers niet zelf gecompromitteerd. Dit was gedaan door cybercriminelen die de apparaten via het gebruik van standaard adminwachtwoorden met de Moobot-malware konden infecteren, zo stelt de FBI. Vervolgens gebruikte de GRU de Moobot-malware om eigen scripts op de routers te installeren en die zo te gebruiken bij het uitvoeren van aanvallen. Daarbij spreken de Amerikaanse autoriteiten van een 'wereldwijd cyberspionageplatform'.

De FBI stapte naar de rechter om het botnet te ontmantelen en kreeg hiervoor toestemming. In het verzoek aan de rechter laat de opsporingsdienst weten dat het een 'technische mogelijkheid' had ontwikkeld om besmette routers te doorzoeken, de aanwezige malware te verwijderen en firewall rules aan te passen zodat het niet meer mogelijk is om de apparaten op afstand te beheren. Bij het doorzoeken van de Ubiquiti-routers heeft de FBI ook alle bij aanvallen gestolen data in beslag genomen, alsmede de scripts die de aanvallers gebruikten.

Het Amerikaanse ministerie van Justitie laat weten dat slachtoffers de aanpassing van de firewall rules kunnen terugdraaien door een fabrieksreset van de router uit te voeren of die via het lokale netwerk te benaderen. In het geval van een fabrieksreset wordt echter ook het standaard adminwachtwoord weer ingesteld en is het apparaat opnieuw kwetsbaar, aldus de autoriteiten. De FBI adviseert alle slachtoffers een fabrieksreset uit te voeren, de nieuwste firmware te installeren, standaard gebruikersnamen en wachtwoorden te wijzigen en firewall rules in te stellen om remote management af te schermen indien nodig.

Onlangs verwijderde de FBI ook van honderden besmette Cisco- en Netgear-routers in de Verenigde Staten malware. Deze routers vormden een botnet dat volgens de Amerikaanse autoriteiten door de Chinese overheid werd gebruikt voor het aanvallen van vitale Amerikaanse infrastructuur.

Reacties (16)
16-02-2024, 10:12 door Anoniem
Je zou verwachten dat gebruikers van Ubiquiti snappen dat een default password moet worden vervangen. En verplicht Ubiquiti de wijziging niet tijdens de setup routine?
16-02-2024, 10:15 door Anoniem
Zo zie je maar hoe gemakkelijk het is om alles via internet te regelen, je kunt zelfs van uit Rusland je routers
instellen, erg gemakkelijk maar voor wie? Ik persoonlijk vindt dit alles behalve slim net zoals die slimme lampen
maar ja de meerderheid beslist. Of geldt hier het citaat weer '"De slimme gissen en de dommen beslissen" wie weet.
16-02-2024, 10:44 door Anoniem
Ik heb zelf deze router. Alle poorten staan altijd dicht. Ben ie dan nog kwetsbaar?
De enige potentie is eigenlijk dat een aanvaller een poort raakt die door de ARP table wordt gebruikt en een lek in de ARP afhandeling…. Of mis ik wat?
16-02-2024, 11:29 door Anoniem
Door Anoniem: Je zou verwachten dat gebruikers van Ubiquiti snappen dat een default password moet worden vervangen. En verplicht Ubiquiti de wijziging niet tijdens de setup routine?

Ik zie nog steeds voldoende it "professionals" die default passwords of simpele wachtwoorden instellen op bedrijfsapparatuur. Dus iets verwachten van gebruikers zou ik niet op vertrouwen en helaas vaalt Ubiquiti hier blijkbaar ook omdat ze het niet afdwingen dat hun gebruikers beter handelen en hun systeem dus ook niet out-of-the-box beter beveiligen.
16-02-2024, 12:08 door Briolet
Door Anoniem: Je zou verwachten dat gebruikers van Ubiquiti snappen dat een default password moet worden vervangen. En verplicht Ubiquiti de wijziging niet tijdens de setup routine?

Van een serieus merk zou ik verwachten dat je niet eens een default wachtwoord kunt gebruiken. Softwarematig is het een fluitje van een cent om alle router-functies uitgeschakeld te laten, totdat er een nieuw sterk wachtwoord ingesteld is.
16-02-2024, 12:12 door Anoniem
Je neem toch geen router van onbekende merk..?..of ben ik nou zo zout wat Nederland betreft??????
16-02-2024, 12:58 door Anoniem
Door Anoniem: Je neem toch geen router van onbekende merk..?..of ben ik nou zo zout wat Nederland betreft??????
Ja....

Omdat dit een best groot merk is. Zeker in de proconsumer market.
16-02-2024, 13:08 door Anoniem
Door Anoniem: Je neem toch geen router van onbekende merk..?..of ben ik nou zo zout wat Nederland betreft??????
Dit is wat ik uit andere forums heb ontdekt.
Voor consumenten redelijk onbekend maar zakelijk redelijk vaak ingezet.
Voor mij ook redelijk onbekend maar welicht heeft de prijs ook wat invloed.
16-02-2024, 15:54 door Anoniem
Door Anoniem: Zo zie je maar hoe gemakkelijk het is om alles via internet te regelen, je kunt zelfs van uit Rusland je routers
instellen, erg gemakkelijk maar voor wie? Ik persoonlijk vindt dit alles behalve slim net zoals die slimme lampen
maar ja de meerderheid beslist. Of geldt hier het citaat weer '"De slimme gissen en de dommen beslissen" wie weet.

Het is niet de eerste keer dat Russische hackers een firmware van een network device hebben gewijzigd bij de manufacturer, dus je download gewoon een rotte firmware.

Een andere mogelijkheid is dat je malware binnenhaalt , of gehacked was via andere wege, en daarbij ingelogd is op je router (vanaf je LAN positie) , vaak kan men op gehacked Wifi als admin/1234 inloggen op de router. Dan hoef je alleen nog externe toegang in te schakelen en te configureren


Jos
16-02-2024, 21:53 door Anoniem
vandaag nog een ubiquiti router ingesteld, verplicht 12 charactef wachtwoord... hoe je dan een admin/admin kunt houden?
16-02-2024, 23:08 door Anoniem
Door Anoniem: Ik heb zelf deze router. Alle poorten staan altijd dicht. Ben ie dan nog kwetsbaar?
De enige potentie is eigenlijk dat een aanvaller een poort raakt die door de ARP table wordt gebruikt en een lek in de ARP afhandeling…. Of mis ik wat?

Wat bedoel je met een lek in de arp tabel? Of je poorten open of dicht hebt staan maakt voor de veiligheid van je router niks uit, te zei je doelt op poorten naar services welke op de router zelf draaien.
17-02-2024, 09:29 door Anoniem
Ik denk dat het wachtwoord niet de enige manier is hoe ze dit op afstand regelen. Welicht is er een backdoor ingebouwd. Met vergaande wetgeving kunnen dit soort agentschappen dat overigens ook gewoon afdwingen van bedrijven. Ik heb routers gezien die standaard alle zoek geschiedenis doorsturen naar een 3e partij als trend micro die het dan op virussen en malware zou scannen. Stel je zet die optie uit is hij dan ook daadwerkelijk disabled? En met custom firmware is de optie dan wel disabled? Ik neig ernaar dat enkel en alleen opensource firmware nog betrouwbaar zal zijn voor onze privacy zoals openwrt en pfsense.
Ook het modem van je provider kun je eigenlijk al niet meer vertrouwen.
Bij processors zie je al hardware matige backdoors als de intel management engine en de amd secure platform processor die mee draaien naast buiten het besturinggssysteem om die jij niet kan inzien of uit kan zetten.
17-02-2024, 13:37 door Anoniem
Door Anoniem: vandaag nog een ubiquiti router ingesteld, verplicht 12 charactef wachtwoord... hoe je dan een admin/admin kunt houden?

Vermoedelijk dat de router die jij instelde nog met enige regelmaat wordt voorzien van firmware updates. Er zijn helaas zat routers of firewalls die door de fabrikant niet langer worden voorzien van updates. De support stopt soms al binnen 2 jaar. De oudere firmware versie die er origineel opstaat bevat vaak geen verplicht 'wachtwoord wijzigen' functie.
18-02-2024, 02:43 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb zelf deze router. Alle poorten staan altijd dicht. Ben ie dan nog kwetsbaar?
De enige potentie is eigenlijk dat een aanvaller een poort raakt die door de ARP table wordt gebruikt en een lek in de ARP afhandeling…. Of mis ik wat?

Wat bedoel je met een lek in de arp tabel? Of je poorten open of dicht hebt staan maakt voor de veiligheid van je router niks uit, te zei je doelt op poorten naar services welke op de router zelf draaien.

Nou, het is een statefull-firewall. Er zijn geen services te benaderen van buiten. De router moet wel een tabel bijhouden voor het retourverkeer, en deze dus analyseren. Als er op dat punt een exploit is, maakt het niet uit hoe goed je het configureert.

Het nieuwsbericht mist gewoon details en ik weet nu niet wat er aan de hand is. Welk cve? Etc.
18-02-2024, 08:34 door Anoniem
Door Anoniem: vandaag nog een ubiquiti router ingesteld, verplicht 12 charactef wachtwoord... hoe je dan een admin/admin kunt houden?

Dit artikel gaat over de ‘edge-router’, niet te verwarren met de UniFi lijn. Ik ken zelf de edge routers niet, geen idee hoe daar de boel in te stellen is.
18-02-2024, 23:09 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik heb zelf deze router. Alle poorten staan altijd dicht. Ben ie dan nog kwetsbaar?
De enige potentie is eigenlijk dat een aanvaller een poort raakt die door de ARP table wordt gebruikt en een lek in de ARP afhandeling…. Of mis ik wat?

Wat bedoel je met een lek in de arp tabel? Of je poorten open of dicht hebt staan maakt voor de veiligheid van je router niks uit, te zei je doelt op poorten naar services welke op de router zelf draaien.

Nou, het is een statefull-firewall. Er zijn geen services te benaderen van buiten. De router moet wel een tabel bijhouden voor het retourverkeer, en deze dus analyseren. Als er op dat punt een exploit is, maakt het niet uit hoe goed je het configureert.

Het nieuwsbericht mist gewoon details en ik weet nu niet wat er aan de hand is. Welk cve? Etc.

Staat er toch in? Toegang via management gekregen en software aangepast / script ingesteld.

tTrouwens, een statefull firewall werkt met een session table, geen arp table.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.