image

Besmette Ubiquiti EdgeRouters gebruikt voor stelen van wachtwoorden

woensdag 28 februari 2024, 09:25 door Redactie, 5 reacties

Besmette Ubiquiti EdgeRouters zijn door aanvallers gebruikt voor het stelen van inloggegevens en wachtwoordhashes, proxyen van netwerkverkeer en uitvoeren van phishingaanvallen, zo waarschuwen de FBI, de Amerikaanse geheime dienst NSA, het Centrum voor Cybersecurity België, het Britse National Cyber Security Centre (NCSC), het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI), alsmede politiediensten uit Noorwegen, Zuid-Korea, Letland, Frankrijk, Brazilië, Polen en Litouwen (pdf). De autoriteiten roepen eigenaren op om een fabrieksreset van de routers uit te voeren.

In een gezamenlijke waarschuwing stellen de autoriteiten dat de aanvallen zijn uitgevoerd door een eenheid van de Russische geheime dienst, die ook bekendstaat als APT28 en Fancy Bear. Onlangs maakte de Amerikaanse overheid bekend dat het een botnet van besmette Ubiquiti EdgeRouters in de Verenigde Staten had opgeschoond, door de malware van de apparaten te verwijderen en firewall rules te wijzigen.

De diensten stellen dat EdgeRouters vaak met standaard inloggegevens worden verscheept en over beperkte of geen firewallbescherming beschikken. Daarnaast installeren EdgeRouters niet automatisch beveiligingsupdates, tenzij beheerders instellen om dit te doen. Volgens de diensten heeft APT28 besmette EdgeRouters gebruikt om inloggegevens te verzamelen, netwerkverkeer te proxyen en gespoofte landingpagina's te hosten. Zo gebruikten de aanvallers scripts voor het verzamelen van inloggegevens van specifieke webmailgebruikers.

Tevens zijn besmette EdgeRouters gebruikt voor het uitvoeren van NTLM relay-aanvallen en het stelen van wachtwoordhashes. In het geval van een relay-aanval kan een aanvaller met de onderschepte hash van het slachtoffer inloggen. Aanvallen zijn uitgevoerd tegen overheden, militaire organisaties en bedrijven in allerlei sectoren, aldus de diensten in hun gezamenlijke advisory.

Om toegang tot de routers te krijgen maken de aanvallers gebruik van standaard wachtwoorden en 'getrojaniseerde OpenSSH serverprocessen', afkomstig van al aanwezige malware. Deze malware is eerder gebruikt om de routers via standaard inloggegevens te compromitteren. Vervolgens worden legitieme bestanden op de router vervangen door getrojaniseerde versies.

Maatregelen

De overheidsdiensten roepen eigenaren van Ubiquiti EdgeRouters op om een hardwarematige fabrieksreset uit te voeren, de laatste firmware te installeren, standaard inloggegevens te wijzigen en firewall rules voor de WAN-interfaces in te stellen. In de advisory geven de diensten allerlei informatie om de aanwezigheid van malware op de routers te detecteren.

Reacties (5)
28-02-2024, 17:19 door Anoniem
standaard wachtwoorden? is dat mogelijk met edgerouters van ubiquiti? nu is edgeos iets anders dan unifios, maar ik was in de veronderstelling dat je bij inloggen met UBNT het wachtwoord moest vervangen door iets van tenminste 8 of 12... iig iets zo lang dat mijn default kort wachtwoord niet voldoende was.

ik vraag het voor een vriend, want ik heb nog geen meldingen ontvangen van ubiquiti over patchen van routers... wel wat rare dingen meegemaakt, maar dat krijg je ook met ubiquiti als je geen hackers hebt.
28-02-2024, 18:19 door Anoniem
Dat is idd mogelijk. De standaard gebruiker kan er ook niet uit. Er zijn een hoop processen afhankelijk van.die user.
Ik heb er een keer voor gezorgd dat in mijn edgerouter die standaard gebruiker iig niet via ssh kon inloggen en voor ssh een andere gebruiker ingesteld. Later heb ik openwrt op die edgerouter gezet omdat ik van mening was dat u iquiti veel te traag met updates kwam.
29-02-2024, 08:54 door Anoniem
Door Anoniem: Dat is idd mogelijk. De standaard gebruiker kan er ook niet uit. Er zijn een hoop processen afhankelijk van.die user.
Ik heb er een keer voor gezorgd dat in mijn edgerouter die standaard gebruiker iig niet via ssh kon inloggen en voor ssh een andere gebruiker ingesteld. Later heb ik openwrt op die edgerouter gezet omdat ik van mening was dat u iquiti veel te traag met updates kwam.

- gebruikers kunnen eenvoudig worden aangepast. in de webgui onder de knop users.
- ssh verhaal is pure onzin
- openwrt geinstalleerd omdat je er waarschijnlijk niet mee overweg kon. klikken is altijd makkelijker dan CLI

Edgerouters hadden ooit als doelgroep Wireless ISP's waar men er vanuit ging dat de gebruikers wisten wat ze deden.

Echter, doordat de edgerouter (en specifiek de edgerouter-x) zo krankzinnig goedkoop was gingen consumenten deze apparaten ook gebruiken waardoor er enorme aantallen zonder enige vorm van beveilging aan het internet gehangen werden met alle gevolgen van dien.
01-03-2024, 09:50 door Anoniem
Door Anoniem: Dat is idd mogelijk. De standaard gebruiker kan er ook niet uit. Er zijn een hoop processen afhankelijk van.die user.
Ik heb er een keer voor gezorgd dat in mijn edgerouter die standaard gebruiker iig niet via ssh kon inloggen en voor ssh een andere gebruiker ingesteld. Later heb ik openwrt op die edgerouter gezet omdat ik van mening was dat u iquiti veel te traag met updates kwam.

Dat kan prima: eerst een ander admin account aanmaken en het ubnt account disablen of verwijderen; doe ik standaard.
Er draaien geen processen onder de ubnt user.
04-03-2024, 15:09 door Anoniem
Er zijn recentelijk weer wat nieuwe versies van de firmware voor de EdgeRouter X uitgebrancht: https://community.ui.com/releases/EdgeRouter-3-0-0-rc-7/d7f702ca-5cf7-4e06-905b-6fa73dff33d6

Het grootste nieuws is support voor WireGuard en een nieuw gestijlde webinterface. Wel nog steeds gebaseerd op `Linux 4.14.54-UBNT #1 SMP Fri Jan 19 09:50:17 UTC 2024 mips` (EdgeOS 3.0.0-rc.7), wat volgens mij vergelijkbaar is met de 2.x serie.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.