В устройствах Ubiquiti обнаружена уязвимость нулевого дня

Киберпреступники ищут наиболее эффективный способ эксплуатации уязвимости еще с июля прошлого года.

Компания Ubiquiti Networks работает над исправлением в своих устройствах недавно обнаруженной уязвимости, эксплуатируемой киберпреступниками в реальных атаках с июля прошлого года. По данным специалистов из Rapid7, проблема затрагивает порядка 485 тыс. устройств. Массовые атаки с использованием уязвимости впервые были зафиксированы на прошлой неделе одним из основателей точки обмена интернет-трафиком NNENIX Джимом Траутменом (Jim Troutman). Как сообщает Траутмен, с помощью сервиса, запущенного на порту 10,001 на устройствах Ubiquiti, злоумышленники осуществляют слабые DDoS-атаки с использованием методов отражения и усиления.

Атакующие отправляют небольшие 56-байтовые пакеты на порт 10,001 на устройствах Ubiquiti, которые отражают эти пакеты, усиливают до 206 байтов (фактор усиления 3,67) и направляют их на IP-адрес атакуемой цели.

Сейчас попытки эксплуатации уязвимости находятся на начальной стадии, и киберпреступники пока только экспериментируют с атаками в поисках наиболее эффективного метода. Никаких масштабных сбоев, вызванных эксплуатацией данной уязвимости, на данный момент зафиксировано не было.

Как пояснил Джон Харт (Jon Hart) из Rapid7, киберпреступники используют так называемый «сервис обнаружения», запущенный на порту 10,001. С помощью этого сервиса производитель и интернет-провайдеры могут находить устройства Ubiquiti как по всему интернету, так и в закрытых сетях.

По словам Харта, фактор усиления сервиса может достигать 30-35, благодаря чему злоумышленники смогут осуществлять DDoS-атаки мощностью до 1 ТБ/с. Но есть и хорошая новость – протокол обнаружения не способен отвечать множественными пакетами, что существенно затрудняет задачу киберпреступникам, поскольку они смогут отражать лишь небольшую часть трафика.