FBI doorzoekt honderden besmette Ubiquiti-routers en wijzigt firewall rules
De FBI heeft met een gerechtelijk bevel honderden besmette Ubiquiti Edge-routers in de Verenigde Staten doorzocht, aanwezige malware verwijderd en firewall rules aangepast om verder misbruik te voorkomen. Volgens de Amerikaanse autoriteiten werden de routers door de Russische geheime dienst GRU gebruikt bij het aanvallen van overheden, militaire organisaties en bedrijven in zowel de Verenigde Staten als andere landen.
De GRU had de routers niet zelf gecompromitteerd. Dit was gedaan door cybercriminelen die de apparaten via het gebruik van standaard adminwachtwoorden met de Moobot-malware konden infecteren, zo stelt de FBI. Vervolgens gebruikte de GRU de Moobot-malware om eigen scripts op de routers te installeren en die zo te gebruiken bij het uitvoeren van aanvallen. Daarbij spreken de Amerikaanse autoriteiten van een 'wereldwijd cyberspionageplatform'.
De FBI stapte naar de rechter om het botnet te ontmantelen en kreeg hiervoor toestemming. In het verzoek aan de rechter laat de opsporingsdienst weten dat het een 'technische mogelijkheid' had ontwikkeld om besmette routers te doorzoeken, de aanwezige malware te verwijderen en firewall rules aan te passen zodat het niet meer mogelijk is om de apparaten op afstand te beheren. Bij het doorzoeken van de Ubiquiti-routers heeft de FBI ook alle bij aanvallen gestolen data in beslag genomen, alsmede de scripts die de aanvallers gebruikten.
Het Amerikaanse ministerie van Justitie laat weten dat slachtoffers de aanpassing van de firewall rules kunnen terugdraaien door een fabrieksreset van de router uit te voeren of die via het lokale netwerk te benaderen. In het geval van een fabrieksreset wordt echter ook het standaard adminwachtwoord weer ingesteld en is het apparaat opnieuw kwetsbaar, aldus de autoriteiten. De FBI adviseert alle slachtoffers een fabrieksreset uit te voeren, de nieuwste firmware te installeren, standaard gebruikersnamen en wachtwoorden te wijzigen en firewall rules in te stellen om remote management af te schermen indien nodig.
Onlangs verwijderde de FBI ook van honderden besmette Cisco- en Netgear-routers in de Verenigde Staten malware. Deze routers vormden een botnet dat volgens de Amerikaanse autoriteiten door de Chinese overheid werd gebruikt voor het aanvallen van vitale Amerikaanse infrastructuur.
instellen, erg gemakkelijk maar voor wie? Ik persoonlijk vindt dit alles behalve slim net zoals die slimme lampen
maar ja de meerderheid beslist. Of geldt hier het citaat weer '"De slimme gissen en de dommen beslissen" wie weet.
De enige potentie is eigenlijk dat een aanvaller een poort raakt die door de ARP table wordt gebruikt en een lek in de ARP afhandeling…. Of mis ik wat?
Ik zie nog steeds voldoende it "professionals" die default passwords of simpele wachtwoorden instellen op bedrijfsapparatuur. Dus iets verwachten van gebruikers zou ik niet op vertrouwen en helaas vaalt Ubiquiti hier blijkbaar ook omdat ze het niet afdwingen dat hun gebruikers beter handelen en hun systeem dus ook niet out-of-the-box beter beveiligen.
Van een serieus merk zou ik verwachten dat je niet eens een default wachtwoord kunt gebruiken. Softwarematig is het een fluitje van een cent om alle router-functies uitgeschakeld te laten, totdat er een nieuw sterk wachtwoord ingesteld is.
Omdat dit een best groot merk is. Zeker in de proconsumer market.
Voor consumenten redelijk onbekend maar zakelijk redelijk vaak ingezet.
Voor mij ook redelijk onbekend maar welicht heeft de prijs ook wat invloed.
instellen, erg gemakkelijk maar voor wie? Ik persoonlijk vindt dit alles behalve slim net zoals die slimme lampen
maar ja de meerderheid beslist. Of geldt hier het citaat weer '"De slimme gissen en de dommen beslissen" wie weet.
Het is niet de eerste keer dat Russische hackers een firmware van een network device hebben gewijzigd bij de manufacturer, dus je download gewoon een rotte firmware.
Een andere mogelijkheid is dat je malware binnenhaalt , of gehacked was via andere wege, en daarbij ingelogd is op je router (vanaf je LAN positie) , vaak kan men op gehacked Wifi als admin/1234 inloggen op de router. Dan hoef je alleen nog externe toegang in te schakelen en te configureren
Jos
De enige potentie is eigenlijk dat een aanvaller een poort raakt die door de ARP table wordt gebruikt en een lek in de ARP afhandeling…. Of mis ik wat?
Wat bedoel je met een lek in de arp tabel? Of je poorten open of dicht hebt staan maakt voor de veiligheid van je router niks uit, te zei je doelt op poorten naar services welke op de router zelf draaien.
Ook het modem van je provider kun je eigenlijk al niet meer vertrouwen.
Bij processors zie je al hardware matige backdoors als de intel management engine en de amd secure platform processor die mee draaien naast buiten het besturinggssysteem om die jij niet kan inzien of uit kan zetten.
Vermoedelijk dat de router die jij instelde nog met enige regelmaat wordt voorzien van firmware updates. Er zijn helaas zat routers of firewalls die door de fabrikant niet langer worden voorzien van updates. De support stopt soms al binnen 2 jaar. De oudere firmware versie die er origineel opstaat bevat vaak geen verplicht 'wachtwoord wijzigen' functie.
De enige potentie is eigenlijk dat een aanvaller een poort raakt die door de ARP table wordt gebruikt en een lek in de ARP afhandeling…. Of mis ik wat?
Wat bedoel je met een lek in de arp tabel? Of je poorten open of dicht hebt staan maakt voor de veiligheid van je router niks uit, te zei je doelt op poorten naar services welke op de router zelf draaien.
Nou, het is een statefull-firewall. Er zijn geen services te benaderen van buiten. De router moet wel een tabel bijhouden voor het retourverkeer, en deze dus analyseren. Als er op dat punt een exploit is, maakt het niet uit hoe goed je het configureert.
Het nieuwsbericht mist gewoon details en ik weet nu niet wat er aan de hand is. Welk cve? Etc.
Dit artikel gaat over de ‘edge-router’, niet te verwarren met de UniFi lijn. Ik ken zelf de edge routers niet, geen idee hoe daar de boel in te stellen is.
De enige potentie is eigenlijk dat een aanvaller een poort raakt die door de ARP table wordt gebruikt en een lek in de ARP afhandeling…. Of mis ik wat?
Wat bedoel je met een lek in de arp tabel? Of je poorten open of dicht hebt staan maakt voor de veiligheid van je router niks uit, te zei je doelt op poorten naar services welke op de router zelf draaien.
Nou, het is een statefull-firewall. Er zijn geen services te benaderen van buiten. De router moet wel een tabel bijhouden voor het retourverkeer, en deze dus analyseren. Als er op dat punt een exploit is, maakt het niet uit hoe goed je het configureert.
Het nieuwsbericht mist gewoon details en ik weet nu niet wat er aan de hand is. Welk cve? Etc.
Staat er toch in? Toegang via management gekregen en software aangepast / script ingesteld.
tTrouwens, een statefull firewall werkt met een session table, geen arp table.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
