Beveiligingsonderzoekers van het Oostenrijkse beveiligingsbedrijf SEC Consult hebben een beveiligingslek in verschillende Ubiquiti-netwerkapparaten gevonden, dat een aanvaller het apparaat laat overnemen. De kwetsbaarheid is inmiddels door patches verholpen.
SEC Consult schrijft in een advisory dat de kwetsbaarheid command injection mogelijk maakt in de beheerdersinterface van sommige Ubiquiti-apparaten. Het lek is aanwezig in een script, dat onder meer kwetsbaar is doordat de gebruikte php-versie uit 1997 stamt. Een aanvaller kan van het lek gebruikmaken door een slachtoffer op een link te laten klikken of naar een kwaadaardige website te sturen. Daarvoor zou alleen een enkel GET-verzoek nodig zijn door het ontbreken van bescherming tegen csrf.
Uiteindelijk zou een aanvaller een geheel netwerk kunnen overnemen, in het geval dat het kwetsbare apparaat dienst doet als een router of firewall. SEC Consult heeft een lijst met mogelijk kwetsbare apparaten in zijn bericht over het lek gepubliceerd. Het bedrijf ontdekte de kwetsbaarheid in november en stelde Ubiquiti via HackerOne op de hoogte. Daarop volgde een langdurig heen-en-weer, wat er uiteindelijke toe leidde dat er in januari nog steeds geen nieuws was over een patch.
Zo ging Ubuquiti er in eerste instantie vanuit dat de melding al eerder was binnengekomen. Na uitblijven van verdere communicatie besloot het beveiligingsbedrijf om deze week tot publicatie over te gaan. The Register merkt op dat Ubiquiti-medewerker Chris Buechler op Reddit wel heeft gereageerd op het lek. Daar zegt hij dat er sprake was van een 'communication breakdown' en dat het lek is opgelost in versie 8.0.1 van AirOS. Voor producten met softwareversies 6.x is er vrijdag een patch uitgekomen. Ubiquiti Networks is een Amerikaans bedrijf dat netwerkapparatuur levert.
Demonstratie van het lek