Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijf vindt command injection-lek in Ubiquiti-netwerkapparatuur

Door , 28 reacties, submitter: iTeV

Beveiligingsonderzoekers van het Oostenrijkse beveiligingsbedrijf SEC Consult hebben een beveiligingslek in verschillende Ubiquiti-netwerkapparaten gevonden, dat een aanvaller het apparaat laat overnemen. De kwetsbaarheid is inmiddels door patches verholpen.

SEC Consult schrijft in een advisory dat de kwetsbaarheid command injection mogelijk maakt in de beheerdersinterface van sommige Ubiquiti-apparaten. Het lek is aanwezig in een script, dat onder meer kwetsbaar is doordat de gebruikte php-versie uit 1997 stamt. Een aanvaller kan van het lek gebruikmaken door een slachtoffer op een link te laten klikken of naar een kwaadaardige website te sturen. Daarvoor zou alleen een enkel GET-verzoek nodig zijn door het ontbreken van bescherming tegen csrf.

Uiteindelijk zou een aanvaller een geheel netwerk kunnen overnemen, in het geval dat het kwetsbare apparaat dienst doet als een router of firewall. SEC Consult heeft een lijst met mogelijk kwetsbare apparaten in zijn bericht over het lek gepubliceerd. Het bedrijf ontdekte de kwetsbaarheid in november en stelde Ubiquiti via HackerOne op de hoogte. Daarop volgde een langdurig heen-en-weer, wat er uiteindelijke toe leidde dat er in januari nog steeds geen nieuws was over een patch.

Zo ging Ubuquiti er in eerste instantie vanuit dat de melding al eerder was binnengekomen. Na uitblijven van verdere communicatie besloot het beveiligingsbedrijf om deze week tot publicatie over te gaan. The Register merkt op dat Ubiquiti-medewerker Chris Buechler op Reddit wel heeft gereageerd op het lek. Daar zegt hij dat er sprake was van een 'communication breakdown' en dat het lek is opgelost in versie 8.0.1 van AirOS. Voor producten met softwareversies 6.x is er vrijdag een patch uitgekomen. Ubiquiti Networks is een Amerikaans bedrijf dat netwerkapparatuur levert.

Demonstratie van het lek

Sander van Voorst

Nieuwsredacteur

17 maart 2017 19:23

28 reacties

Submitter: iTeV

Linkedin Google+

Reacties (28)

Wijzig sortering
Zie hier een thread met een heleboel reacties van Ubiquiti medewerker Brandon (de meeste kennen hem wel).

Paar punten:
  • Voor alle AirMax ac gear is AirOS 8.0.1 al sinds 3 februari uit waarin dit lek gedicht is
  • Voor alle AirMax n gear zit een patch in beta.
  • Een admin (dus niet zomaar een gebruiker) moet inloggen op AirMax gear en vervolgens voor de phising attack vallen door op een link te klikken
  • Dit lek werkt alleen als je AirMax van buiten het netwerk kan bereiken
Het is slordig dat het dus voor een deel van de apparaten de patch nu pas in beta is, maar de issue wordt hier wel enorm overdreven.

Edit: Een uur geleden is AirOS 6.0.1 voor oudere apparaten uitgekomen en is het lek nu in alle Ubiquiti apparaten gedicht.

[Reactie gewijzigd door Balance op 17 maart 2017 19:49]

Edit: Een uur geleden is AirOS 6.0.1 voor oudere apparaten uitgekomen en is het lek nu in alle Ubiquiti apparaten gedicht.
Nee, nee, nee! Er is een patch beschikbaar die het lek dicht, dat betekent absoluut niet dat het lek is gedicht in alle apparaten... Dat zal natuurlijk nog gedicht moeten worden door de beheerders van die hardware, de ervaring leert dat dit vaak niet direct gebeurd in de branch waar deze hardware wordt uitgerold, het (kleine) mkb. Vaak geen vaste ITer of een support contract.

Betreft trouwens 'maar' 38 producten van bepaalde series, Airmax, AirFIber en AirGateway. De UniFi producten is dit issue niet relevant volgens de bron. Ik vind het erg slordig dat Tweakers dat niet even vermeld aangezien de meeste mensen/bedrijven voornamelijk UniFi producten van Ubiquiti gebruikt en natuurlijk nu meteen een rol beroerte krijgen...
[...]

Betreft trouwens 'maar' 38 producten van bepaalde series, Airmax, AirFIber en AirGateway. De UniFi producten is dit issue niet relevant volgens de bron. Ik vind het erg slordig dat Tweakers dat niet even vermeld aangezien de meeste mensen/bedrijven voornamelijk UniFi producten van Ubiquiti gebruikt en natuurlijk nu meteen een rol beroerte krijgen...
Hier was ik dus nieuwsgierig naar, aangezien ik Unifi-producten heb. Thanks! Dan loop ik dus hierop geen risico, voor nu.
Ik heb thuis een Ubiquiti accesspoint. Deze is standaard ingesteld op automatisch updaten.
Gaat het dan voornamelijk om Airmax apparatuur en bijbehorende software? Unify valt niet onder deze?
Klopt, enkel AirOS (dus AirMax en AirFiber)
Dank, ik voeg het toe.
quote: Balance
Het is slordig dat het dus voor een deel van de apparaten de patch nu pas in beta is, maar de issue wordt hier wel enorm overdreven.
Dat ben ik niet met je eens. Tuurlijk is het mooi dat het voor AirMax AC Gear in februari verholpen is, maar dat dit niet wordt teruggekoppeld naar de aanmelder van het issue is ook kwalijk te nemen. Als je het mij vraagt lijkt het op een 'PR actie' om de schade te beperken van hun communicatie.

En een andere medewerker zegt er het volgende over:
quote: UBNT-Robert
Hi all --

100% agree. The most frustrating part of all this is we have a dedicated team 100% focused on secruity exploit mitigation.

I am still trying to piece together how we dropped the ball. We will have official responses shortly on this issue as well as a follow-up newsletter on our overall security exploit mitigation efforts to help restore confidence that we do take security very seriously here.
airOS 6.0.1uitgebracht
Ik zie net dat er voor airMAX een update uitgebracht is hier de releasenotes en downloadlink welke de volgende improvements bevatten:
airOS security improvements:
- Command injection in Ping test tool
- OpenSSL update to to v1.0.2j
- Remove unused WMM related code
- Other security fixes and improvements
edit: ik zie net dat Balance de link ook heeft geplaatst :)

[Reactie gewijzigd door Robinvdh5 op 17 maart 2017 20:04]

De timeline is wel echt schandalig vanuit Ubiquiti.. Ik had ze aardig hoog in het vaandel staan voor wat betreft goede, betaalbare apparatuur maar de TTF is wel erg lang.
Vendor contact timeline:
------------------------
2016-11-22: Contacting vendor via HackerOne
2016-11-22: Vendor marks it as duplicate to: #143447
2016-11-23: Asking the vendor for a patch.
2016-11-25: Vendor responds that #143447 should be fixed for next stable
release.
2016-11-25: Asking for an estimated time frame for a fix of the
vulnerability.
2016-11-25: Vendor can not give a precise date.
2017-01-10: Asking the vendor for a patch and defined release of the
advisory for 2017-01-16 (concerning the SEC Consult
disclosure policy). Shifted the deadline to 2017-01-30
due to Christmas holidays; No answer.
2017-01-17: Asked for an update.
2017-01-17: Vendor excuses for the delay and responds that they got a
similar report but our PoC does not work.
2017-01-18: Explained PoC again
2017-01-19: Vendor responds that they received a similar report and
assumed a duplication. They state that our PoC never worked
and did not make any sense.
2017-01-20: Uploaded a video which shows a live command injection at an
up-to-date (v6.0) device and posted an assumed reason why
it's possible to exploit
2017-01-21: Vendor responds that they were able to reproduce it now. They
also posted the real cause.
2017-01-24: Asking whether the vulnerability is a duplicate to #143447.
2017-01-24: Vendor responds that it is no duplicate and that this
issue will be fixed as soon as possible.
2017-02-03: Asking for a status update; No answer.
2017-02-21: Asking for a status update; No answer.
2017-03-01: Informing the vendor that the release of the advisory is set to
2017-03-16; No answer.
2017-03-16: Public advisory release

[Reactie gewijzigd door Robinvdh5 op 17 maart 2017 19:32]

NLE levert ook Ubiquiti spullen om het Wi-Fi netwerk thuis op een eenvoudige manier uit te breiden. Die provider lokt momenteel veel klanten met lage prijzen, waardoor deze Ubiquiti ook bij veel consumenten zonder veel (interesse in) technische kennis in huis worden gehaald. Een niet te onderschatten risico, lijkt mij...

Update: NLE geeft aan dat de Uniquiti zijn gepatched, indien deze bij de installateur zijn aangeschaft.

[Reactie gewijzigd door John Duh op 19 maart 2017 08:07]

Maar dat zullen niet de enterprise spullen van Ubiquiti zijn, en dat is nou juist waar de problemen in zitten. Niet in het prosumer-spul van Ubiquiti.
Maakt niet uit, die hebben dus geen AirOS.
Elk merk heeft risico.
Nouja, of elk merk nou een lek heeft kan je ook niet 100% uitsluiten natuurlijk, maar de kans is wel aanwezig inderdaad!

[Reactie gewijzigd door michaell958 op 19 maart 2017 17:22]

Hmm. Ik heb hier alles van Ubiquiti hangen in huis. :| Nu is er voor de UAP's al een firmware update voor een security risk gekomen. Maar of het hierover gaat heb ik geen idee van.

Hopelijk is dit voor de routers en switches gedicht. Anders toch meer op de login logs gaan letten. ;)

[Reactie gewijzigd door BryanBarb op 17 maart 2017 19:35]

Je heb waarschijnlijk alleen UniFi producten draaien, het betreft hier Airmax, AirFIber en AirGateway producten. Deze worden voornamelijk buiten gebruikt.
Klopt UAP's en de Edgerouter. Na verder lezen kwam ik daar ook achter :+
Het lek is aanwezig in een script, dat onder meer kwetsbaar is doordat de gebruikte php-versie uit 1997 stamt
Welke PHP zouden ze dan draaien? :o
is daar wat bekend over?
2.0.1 staat in de link van het artikel.
Hoezo gebruiken ze zo'n oude versie eigenlijk?
Hmmm.... Nou draait dat Ubiquti spul (gelukkig) hoofdzakelijk alleen bij MKB klanten en/of particulieren (waaronder bij mezelf), maar... Misschien is 't wel wenselijk om dit soort "lekken" wat breder aanhankelijk te maken doordat er bedrijven geraakt kúnnen worden.....
Waarom gebruik je Airmax, AirFiber of AirGateway producten als particulier? Zijn de UniFi producten niet geschikt of heb je een schuurtje 200m verderop het erf staan waar je graag wifi wil hebben?
??

Als ik een schuurtje op 200Mtr van m'n AOP van internet wil voorzien dat neem ik aan dat dat schuurtje op m'n eigen terrein staat en dat ik een simpele "glas" kabel kan trekken? Een paar SFP's met een multimode fiber .... Kost niet zó veel ;)
Dat is ook mijn idee, vandaar de vraag... Waarom zou je dan Airmax, AirFiber of AirGateway producten gebruiken?
Snel aan te leggen, dus goedkoop?
Als je land hebt aan de andere kant van de straat bijvoorbeeld en je daar van hetzelfde internet/netwerk gebruik wil maken zonder de openbare straat te moeten openbreken..

[Reactie gewijzigd door SmokingCrop op 18 maart 2017 01:04]

een tuin/stuk land hebben aan de overkant van de straat? Bijvoorbeeld een dierenverblijf/kantoortje wat los van je woonhuis staat.
*EDIT* nvm, blijkbaar had ik de bug niet goed begrepen.

[Reactie gewijzigd door sithlord2 op 18 maart 2017 10:42]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*