01.09.2020 11:15
"Accessible Ubiquiti Service Discovery": Erster Datenfeed in der Taxonomie "Intrusions"
Ubiquiti Geräte benutzen ein Discovery Protokoll, um sich gegenseitig automatisch zu erkennen. Während das innerhalb des eigenen Netzwerks nützlich sein kann, machen fehlerhaft konfigurierte Geräte eine Vielzahl an Daten über sich öffentlich abrufbar. Als wäre dieses Problem nicht genug, gab es in älteren Firmware-Versionen eine Schwachstelle, die eine automatisierte Übernahme der betroffenen Systeme ermöglicht(e).
Basierend auf dem "Open Ubiquiti Report" von Shadowserver filtern wir jene Geräte heraus, die in der Spalte radioname
das Wort "HACKED" enthalten. Diese Herangehensweise findet natürlich nicht alle, die infiziert sind, hat aber dafür eine hohe Trefferquote, da der Begriff in einigen bekannten, vermutlich gut-gemeinten, "Angriffen" zum Einsatz kam, um BetreiberInnen zu warnen, dass ihre Geräte infiziert sind (vgl. dazu z.B. einen Artikel von ZDNet). Die daraus resultierenden Aussendungen haben den Betreff "Network intrusion incidents", der bisher nicht von uns verwendet wurde.
Eine genauere Beschreibung der Probleme mit der Ubiquiti Service Discovery und mögliche Gegenmaßnahmen finden Sie unter https://cert.at/de/services/daten-feeds/shadowserver/#accessible-ubiquiti-discovery.
Sollten Sie eine solche Aussendung von uns erhalten, würden wir uns sehr über Feedback an team@cert.at freuen, ob die Information nützlich für Sie war bzw. was notwendig ist, damit sie das wird.