Хотя адаптированный под UniFi-устройства PoC-эксплоит был опубликован еще в декабре, атаки с ним начались только в конце января.

Киберпреступники используют кастомизированную версию публично доступного эксплоита для нашумевшей уязвимости Log4Shell, чтобы атаковать сетевые установки Ubiquiti с установленным программным обеспечением UniFi.
 
Как сообщают специалисты ИБ-компании Morphisec, первые атаки начались 20 января 2022 года. Злоумышленники использовали PoC-эксплоит, ранее опубликованный на GitHub.

Разработанный компанией Sprocket Security PoC-эксплоит позволяет эксплуатировать уязвимость Log4Shell в утилите Log4j на UniFi-устройствах Ubiquiti.

ПО UniFi может устанавливаться на Linux- и Windows-серверах и позволяет сетевым администраторам управлять беспроводным и сетевым оборудованием Ubiquiti из одного централизованного web-приложения. Это приложение написано с использованием Java и использует утилиту Log4j для поддержки функции журналирования. Приложение присутствует в списке продуктов, затрагиваемых уязвимостью Log4Shell, и получило исправление 10 декабря 2021 года – на следующий день после того, как о Log4Shell стало известно широкой общественности.

Злоумышленники предположительно получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS.

Крупный поставщик облачных IoT-устройств Ubiquiti в январе 2021 года сообщил о взломе стороннего поставщика облачных услуг, в результате которого были похищены учетные данные клиентов. Однако источник ресурса KrebsOnSecurity утверждает, что Ubiquiti сильно преуменьшила значение «катастрофического» инцидента с целью минимизировать удар по цене своих акций, а заявление стороннего поставщика облачных услуг было сфабриковано.

«Это было намного хуже, чем сообщалось, и об этом умолчали. Взлом был серьезным, данные клиентов оказались под угрозой, доступ к устройствам клиентов, развернутым в корпорациях и домах по всему миру, был под угрозой», — сообщил ИБ-специалист, который помогал Ubiquiti отреагировать на инцидент.

Пользователь пожаловался на то, что в программе управления устройствами Ubiquiti он начал наблюдать рекламу.
 
Компания отвечает, что это не реклама, а новый интерфейс управления. Тем не менее, довольно большая часть пространства занята рекламой.

Пользователи отмечают, что это показывается как в локальной версии интерфейса, так и в облачной.

Контейнер с рекламой генерируется случайным образом (стили, классы), поэтому просто так не вырежешь.

Некоторые призывают переходить на Cisco, где платишь за лицензию и не наблюдаешь рекламы.

ELKO Smart Center начинает проводить сертифицированные учебные курсы по сетевому оборудованию Ubiquiti Networks. Это уникальное предложение для Украины и ближайшего зарубежья - Молдовы, России, Кавказа, стран Балтии и Средней Азии.

Эти тренинги позволяют приобрести как базовые знания, так и практический опыт построения систем беспроводной связи с использованием оборудования Ubiquiti. После успешной сдачи экзамена участники получают официальные сертификаты.

Тренинги предназначены для специалистов по развертыванию систем передачи данных, специалистов в области системной интеграции, инженеров по компьютерным сетям, проектировщиков и инженеров по эксплуатации беспроводных систем, инженеров, желающих изучить построение, настройку и управление проводными и беспроводными сетями c использованием оборудования Ubiquiti Networks.

Компания Ubiquiti Networks работает над исправлением в своих устройствах недавно обнаруженной уязвимости, эксплуатируемой киберпреступниками в реальных атаках с июля прошлого года. По данным специалистов из Rapid7, проблема затрагивает порядка 485 тыс. устройств.

Массовые атаки с использованием уязвимости впервые были зафиксированы на прошлой неделе одним из основателей точки обмена интернет-трафиком NNENIX Джимом Траутменом (Jim Troutman). Как сообщает Траутмен, с помощью сервиса, запущенного на порту 10,001 на устройствах Ubiquiti, злоумышленники осуществляют слабые DDoS-атаки с использованием методов отражения и усиления.

Атакующие отправляют небольшие 56-байтовые пакеты на порт 10,001 на устройствах Ubiquiti, которые отражают эти пакеты, усиливают до 206 байтов (фактор усиления 3,67) и направляют их на IP-адрес атакуемой цели.

Сейчас попытки эксплуатации уязвимости находятся на начальной стадии, и киберпреступники пока только экспериментируют с атаками в поисках наиболее эффективного метода. Никаких масштабных сбоев, вызванных эксплуатацией данной уязвимости, на данный момент зафиксировано не было.

Как пояснил Джон Харт (Jon Hart) из Rapid7, киберпреступники используют так называемый «сервис обнаружения», запущенный на порту 10,001. С помощью этого сервиса производитель и интернет-провайдеры могут находить устройства Ubiquiti как по всему интернету, так и в закрытых сетях.

По словам Харта, фактор усиления сервиса может достигать 30-35, благодаря чему злоумышленники смогут осуществлять DDoS-атаки мощностью до 1 ТБ/с. Но есть и хорошая новость – протокол обнаружения не способен отвечать множественными пакетами, что существенно затрудняет задачу киберпреступникам, поскольку они смогут отражать лишь небольшую часть трафика.