Beveiligingsbedrijf vindt command injection-lek in Ubiquiti-netwerkapparatuur

Beveiligingsonderzoekers van het Oostenrijkse beveiligingsbedrijf SEC Consult hebben een beveiligingslek in verschillende Ubiquiti-netwerkapparaten gevonden, dat een aanvaller het apparaat laat overnemen. De kwetsbaarheid is inmiddels door patches verholpen.

SEC Consult schrijft in een advisory dat de kwetsbaarheid command injection mogelijk maakt in de beheerdersinterface van sommige Ubiquiti-apparaten. Het lek is aanwezig in een script, dat onder meer kwetsbaar is doordat de gebruikte php-versie uit 1997 stamt. Een aanvaller kan van het lek gebruikmaken door een slachtoffer op een link te laten klikken of naar een kwaadaardige website te sturen. Daarvoor zou alleen een enkel GET-verzoek nodig zijn door het ontbreken van bescherming tegen csrf.

Uiteindelijk zou een aanvaller een geheel netwerk kunnen overnemen, in het geval dat het kwetsbare apparaat dienst doet als een router of firewall. SEC Consult heeft een lijst met mogelijk kwetsbare apparaten in zijn bericht over het lek gepubliceerd. Het bedrijf ontdekte de kwetsbaarheid in november en stelde Ubiquiti via HackerOne op de hoogte. Daarop volgde een langdurig heen-en-weer, wat er uiteindelijke toe leidde dat er in januari nog steeds geen nieuws was over een patch.

Zo ging Ubuquiti er in eerste instantie vanuit dat de melding al eerder was binnengekomen. Na uitblijven van verdere communicatie besloot het beveiligingsbedrijf om deze week tot publicatie over te gaan. The Register merkt op dat Ubiquiti-medewerker Chris Buechler op Reddit wel heeft gereageerd op het lek. Daar zegt hij dat er sprake was van een 'communication breakdown' en dat het lek is opgelost in versie 8.0.1 van AirOS. Voor producten met softwareversies 6.x is er vrijdag een patch uitgekomen. Ubiquiti Networks is een Amerikaans bedrijf dat netwerkapparatuur levert.

Demonstratie van het lek

IT-banen

Reacties (28)

Balance 17 maart 2017 19:41

Zie hier een thread met een heleboel reacties van Ubiquiti medewerker Brandon (de meeste kennen hem wel).

Paar punten:

Voor alle AirMax ac gear is AirOS 8.0.1 al sinds 3 februari uit waarin dit lek gedicht is
Voor alle AirMax n gear zit een patch in beta.
Een admin (dus niet zomaar een gebruiker) moet inloggen op AirMax gear en vervolgens voor de phising attack vallen door op een link te klikken
Dit lek werkt alleen als je AirMax van buiten het netwerk kan bereiken

Het is slordig dat het dus voor een deel van de apparaten de patch nu pas in beta is, maar de issue wordt hier wel enorm overdreven.

Edit: Een uur geleden is AirOS 6.0.1 voor oudere apparaten uitgekomen en is het lek nu in alle Ubiquiti apparaten gedicht.

[Reactie gewijzigd door Balance op 22 juli 2024 15:17]

Cergorach @Balance • 17 maart 2017 20:10

Edit: Een uur geleden is AirOS 6.0.1 voor oudere apparaten uitgekomen en is het lek nu in alle Ubiquiti apparaten gedicht.

Nee, nee, nee! Er is een patch beschikbaar die het lek dicht, dat betekent absoluut niet dat het lek is gedicht in alle apparaten... Dat zal natuurlijk nog gedicht moeten worden door de beheerders van die hardware, de ervaring leert dat dit vaak niet direct gebeurd in de branch waar deze hardware wordt uitgerold, het (kleine) mkb. Vaak geen vaste ITer of een support contract.

Betreft trouwens 'maar' 38 producten van bepaalde series, Airmax, AirFIber en AirGateway. De UniFi producten is dit issue niet relevant volgens de bron. Ik vind het erg slordig dat Tweakers dat niet even vermeld aangezien de meeste mensen/bedrijven voornamelijk UniFi producten van Ubiquiti gebruikt en natuurlijk nu meteen een rol beroerte krijgen...

Ruubster @Cergorach • 17 maart 2017 22:19

[...]

Betreft trouwens 'maar' 38 producten van bepaalde series, Airmax, AirFIber en AirGateway. De UniFi producten is dit issue niet relevant volgens de bron. Ik vind het erg slordig dat Tweakers dat niet even vermeld aangezien de meeste mensen/bedrijven voornamelijk UniFi producten van Ubiquiti gebruikt en natuurlijk nu meteen een rol beroerte krijgen...

Hier was ik dus nieuwsgierig naar, aangezien ik Unifi-producten heb. Thanks! Dan loop ik dus hierop geen risico, voor nu.

thegve @Cergorach • 19 maart 2017 23:02

Ik heb thuis een Ubiquiti accesspoint. Deze is standaard ingesteld op automatisch updaten.

Verwijderd @Balance • 17 maart 2017 20:14

Gaat het dan voornamelijk om Airmax apparatuur en bijbehorende software? Unify valt niet onder deze?

Balance @Verwijderd • 17 maart 2017 23:43

Klopt, enkel AirOS (dus AirMax en AirFiber)

Auteur

duqu @Balance • 17 maart 2017 20:01

Dank, ik voeg het toe.

TweakOverflow

@Balance • 17 maart 2017 20:02

quote: Balance
Het is slordig dat het dus voor een deel van de apparaten de patch nu pas in beta is, maar de issue wordt hier wel enorm overdreven.

Dat ben ik niet met je eens. Tuurlijk is het mooi dat het voor AirMax AC Gear in februari verholpen is, maar dat dit niet wordt teruggekoppeld naar de aanmelder van het issue is ook kwalijk te nemen. Als je het mij vraagt lijkt het op een 'PR actie' om de schade te beperken van hun communicatie.

En een andere medewerker zegt er het volgende over:

quote: UBNT-Robert
Hi all --

100% agree. The most frustrating part of all this is we have a dedicated team 100% focused on secruity exploit mitigation.

I am still trying to piece together how we dropped the ball. We will have official responses shortly on this issue as well as a follow-up newsletter on our overall security exploit mitigation efforts to help restore confidence that we do take security very seriously here.

airOS 6.0.1uitgebracht
Ik zie net dat er voor airMAX een update uitgebracht is hier de releasenotes en downloadlink welke de volgende improvements bevatten:

airOS security improvements:
- Command injection in Ping test tool
- OpenSSL update to to v1.0.2j
- Remove unused WMM related code
- Other security fixes and improvements

edit: ik zie net dat Balance de link ook heeft geplaatst

[Reactie gewijzigd door TweakOverflow op 22 juli 2024 15:17]

TweakOverflow

17 maart 2017 19:31

De timeline is wel echt schandalig vanuit Ubiquiti.. Ik had ze aardig hoog in het vaandel staan voor wat betreft goede, betaalbare apparatuur maar de TTF is wel erg lang.

Vendor contact timeline:
------------------------
2016-11-22: Contacting vendor via HackerOne
2016-11-22: Vendor marks it as duplicate to: #143447
2016-11-23: Asking the vendor for a patch.
2016-11-25: Vendor responds that #143447 should be fixed for next stable
release.
2016-11-25: Asking for an estimated time frame for a fix of the
vulnerability.
2016-11-25: Vendor can not give a precise date.
2017-01-10: Asking the vendor for a patch and defined release of the
advisory for 2017-01-16 (concerning the SEC Consult
disclosure policy). Shifted the deadline to 2017-01-30
due to Christmas holidays; No answer.
2017-01-17: Asked for an update.
2017-01-17: Vendor excuses for the delay and responds that they got a
similar report but our PoC does not work.
2017-01-18: Explained PoC again
2017-01-19: Vendor responds that they received a similar report and
assumed a duplication. They state that our PoC never worked
and did not make any sense.
2017-01-20: Uploaded a video which shows a live command injection at an
up-to-date (v6.0) device and posted an assumed reason why
it's possible to exploit
2017-01-21: Vendor responds that they were able to reproduce it now. They
also posted the real cause.
2017-01-24: Asking whether the vulnerability is a duplicate to #143447.
2017-01-24: Vendor responds that it is no duplicate and that this
issue will be fixed as soon as possible.
2017-02-03: Asking for a status update; No answer.
2017-02-21: Asking for a status update; No answer.
2017-03-01: Informing the vendor that the release of the advisory is set to
2017-03-16; No answer.
2017-03-16: Public advisory release

[Reactie gewijzigd door TweakOverflow op 22 juli 2024 15:17]

John Duh 17 maart 2017 20:03

NLE levert ook Ubiquiti spullen om het Wi-Fi netwerk thuis op een eenvoudige manier uit te breiden. Die provider lokt momenteel veel klanten met lage prijzen, waardoor deze Ubiquiti ook bij veel consumenten zonder veel (interesse in) technische kennis in huis worden gehaald. Een niet te onderschatten risico, lijkt mij...

Update: NLE geeft aan dat de Uniquiti zijn gepatched, indien deze bij de installateur zijn aangeschaft.

[Reactie gewijzigd door John Duh op 22 juli 2024 15:17]

Wildfire

@John Duh • 17 maart 2017 21:25

Maar dat zullen niet de enterprise spullen van Ubiquiti zijn, en dat is nou juist waar de problemen in zitten. Niet in het prosumer-spul van Ubiquiti.

johnkeates @John Duh • 18 maart 2017 01:43

Maakt niet uit, die hebben dus geen AirOS.

z1rconium @John Duh • 17 maart 2017 23:24

Elk merk heeft risico.

michaell958 @z1rconium • 18 maart 2017 01:00

Nouja, of elk merk nou een lek heeft kan je ook niet 100% uitsluiten natuurlijk, maar de kans is wel aanwezig inderdaad!

[Reactie gewijzigd door michaell958 op 22 juli 2024 15:17]

SupaHotFire 17 maart 2017 19:34

Hmm. Ik heb hier alles van Ubiquiti hangen in huis.

Nu is er voor de UAP's al een firmware update voor een security risk gekomen. Maar of het hierover gaat heb ik geen idee van.

Hopelijk is dit voor de routers en switches gedicht. Anders toch meer op de login logs gaan letten.

[Reactie gewijzigd door SupaHotFire op 22 juli 2024 15:17]

Cergorach @SupaHotFire • 17 maart 2017 20:12

Je heb waarschijnlijk alleen UniFi producten draaien, het betreft hier Airmax, AirFIber en AirGateway producten. Deze worden voornamelijk buiten gebruikt.

SupaHotFire @Cergorach • 17 maart 2017 20:15

Klopt UAP's en de Edgerouter. Na verder lezen kwam ik daar ook achter

AW_Bos

17 maart 2017 19:39

Het lek is aanwezig in een script, dat onder meer kwetsbaar is doordat de gebruikte php-versie uit 1997 stamt

Welke PHP zouden ze dan draaien?

is daar wat bekend over?

xh3adshotx @AW_Bos • 17 maart 2017 19:42

2.0.1 staat in de link van het artikel.

Yoram @xh3adshotx • 17 maart 2017 20:04

Hoezo gebruiken ze zo'n oude versie eigenlijk?

Will_M 17 maart 2017 19:34

Hmmm.... Nou draait dat Ubiquti spul (gelukkig) hoofdzakelijk alleen bij MKB klanten en/of particulieren (waaronder bij mezelf), maar... Misschien is 't wel wenselijk om dit soort "lekken" wat breder aanhankelijk te maken doordat er bedrijven geraakt kúnnen worden.....

Cergorach @Will_M • 17 maart 2017 20:13

Waarom gebruik je Airmax, AirFiber of AirGateway producten als particulier? Zijn de UniFi producten niet geschikt of heb je een schuurtje 200m verderop het erf staan waar je graag wifi wil hebben?

Will_M @Cergorach • 17 maart 2017 20:19

??

Als ik een schuurtje op 200Mtr van m'n AOP van internet wil voorzien dat neem ik aan dat dat schuurtje op m'n eigen terrein staat en dat ik een simpele "glas" kabel kan trekken? Een paar SFP's met een multimode fiber .... Kost niet zó veel

Cergorach @Will_M • 17 maart 2017 20:22

Dat is ook mijn idee, vandaar de vraag... Waarom zou je dan Airmax, AirFiber of AirGateway producten gebruiken?

Will_M @Cergorach • 17 maart 2017 20:33

Snel aan te leggen, dus goedkoop?

SmokingCrop @Will_M • 18 maart 2017 01:04

Als je land hebt aan de andere kant van de straat bijvoorbeeld en je daar van hetzelfde internet/netwerk gebruik wil maken zonder de openbare straat te moeten openbreken..

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 15:17]

aadje93 @Cergorach • 18 maart 2017 13:40

een tuin/stuk land hebben aan de overkant van de straat? Bijvoorbeeld een dierenverblijf/kantoortje wat los van je woonhuis staat.

Verwijderd 18 maart 2017 10:37

*EDIT* nvm, blijkbaar had ik de bug niet goed begrepen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:17]

Op dit item kan niet meer gereageerd worden.

Beveiligingsbedrijf vindt command injection-lek in Ubiquiti-netwerkapparatuur

Lees meer

IT-banen

Reacties (28)

Sorteer op:

Weergave: