Ponad 20 tys. urządzeń marki Ubiquiti jest narażonych na ataki typu DNS amplification oraz ryzyko naruszeń prywatności – informują analitycy Check Point Research. Chodzi o systemy popularnych kamer Ubiquiti G4 Instant oraz towarzyszące jej urządzenie Cloud Key+, wykorzystywanych w sieciach monitoringu domów i sklepów m.in. w Polsce. Mimo wcześniejszych łatek, urządzenia nadal pozostają podatne, co ukazuje trudności w pełnym zabezpieczeniu urządzeń IoT.
Problemem okazały się przede wszystkim dwa niestandardowe procesy uprzywilejowane, korzystające z protokołu UDP na portach 10001 i 7004 co pozwala na pozyskiwanie danych takich jak nazwy platform, wersje oprogramowania oraz skonfigurowane adresy IP. Korzystając z tcpdump na porcie 10001, badacze zidentyfikowali protokół wykrywania Ubiquiti. Urządzenie CloudKey+ regularnie wysyłało pakiety „ping” do urządzeń wieloemisyjnych i innych wykrywanych urządzeń, w tym czasie kamera odpowiadała komunikatami „pong” zawierającymi szczegółowe informacje, takie jak nazwa platformy, wersja oprogramowania i adresy IP. Analitycy zwrócili uwagę przede wszysktim na:
- Brak uwierzytelnienia: pakiet wykrywania („ping”) nie posiadał uwierzytelnienia.
- Potencjał dla ataków aplification: odpowiedź kamery była znacznie większa niż pakiet wykrywający, co wskazuje na możliwość ataków typu amplification.
Stojący za odkryciem eksperci Check Point Research byli w stanie wysłać sfałszowany pakiet wykrywania do wewnętrznej sieci testowej, a zarówno kamera G4, jak i CK+ odpowiedziały, potwierdzając ich obawy. Podatności pozwalały m.in. na identyfikacje urządzenia, a także na udostępnienie imion i nazwisk, nazw firm oraz ich adresów, zawierające informacje o atakach ukierunkowanych.
Check Point Research skontaktowało się z firmą Ubiquiti, która potwierdziła, że urządzenia z najnowszym oprogramowaniem powinny odpowiadać jedynie na zapytania z wewnętrznych adresów IP. Jednak okazuje się, że wielu użytkowników może nigdy nie zaktualizować swoich urządzeń, co może stanowić zagrożenie. Eksperci przypominają o konieczności regularnych aktualizacji oprogramowania i zachowania ostrożności przy łączeniu urządzeń IoT z internetem.
Co ciekawe, w 2019 roku Jim Troutman informował na Twitterze o atakach typu „odmowa usługi” (DoS), które zostały przeprowadzone na urządzenia Ubiquiti poprzez wykorzystanie usługi na 10001/UDP. W odpowiedzi na ten donos, Rapid7 przeprowadził własną ocenę zagrożenia i zgłosił, że prawie 500 000 urządzeń było podatnych na wykorzystanie. Dziś, pięć lat później, ponad 20 000 urządzeń nadal jest podatnych na ten problem. Stanowi to kluczowy przykład tego, jak trudno jest w pełni załatać luki w zabezpieczeniach. Dane informacyjne ujawnione podczas tej sondy mogą być przydatne w przeprowadzaniu ataków technicznych i socjotechnicznych. Badanie Check Pointa ujawniło, jak ogromną ilość danych udostępniają użytkownicy, choć najprawdopodobniej nie są tego świadomi.
