Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
VPNFilter, UniFi Network
 
#1
23.05.2018 21:17:00
Я пока не видел этой темы, искал. Прошу прощения, если пропустил. Только что читал про VPNFilter здесь (https://blog.talosintelligence.com/2018/05/VPNFilter.html). Это как-то касается линейки Unifi? У меня стоит USG, но, думаю, вопрос актуален для всех продуктов. Спасибо. wowsher Добавляю тему с Reddit, где тоже обсуждают это: https://www.reddit.com/r/Ubiquiti/comments/8lmvxc/ubnt_and_vpnfilter/ — исправленный URL блога.
 
 
 
#2
07.06.2018 16:53:00
Все посты здесь у меня отображаются отлично...
 
 
 
#3
07.06.2018 12:33:00
Кто-нибудь знает что-нибудь про линейку продуктов Amplifi и связанные с ними риски (при условии, что вы поменяли стандартные данные для входа)?
 
 
 
#4
07.06.2018 16:44:00
Об этом уже говорилось в постах прямо над вашим, включая упоминание о добавлении новых устройств. Список, который публикует Talos, включает те устройства, на которых обнаружено вредоносное ПО. Ожидайте, что этот список будет продолжать расти. И повторюсь: это не уязвимость — это вредоносное ПО, установленное через существующие слабости, включая стандартные или слишком простые пароли и непатченные прошивки с известными уязвимостями. Проще говоря: всегда меняйте стандартные пароли и держите прошивки устройств в актуальном состоянии.

Обсуждения показывают, что заражённые устройства либо имели стандартные/слабые пароли, либо непатченные прошивки с известными «дырками», и именно такими путями, по всей видимости, происходило заражение. VPNFilter — яркий пример того, что случается, когда правила безопасности на широком уровне игнорируют.

Об этом говорили в посте прямо над его, пока тот внезапно не пропал. Этот пост всё ещё можно найти в результатах поиска, но при попытке открыть его появляется страница с сообщением об «неожиданной ошибке».
 
 
 
#5
07.06.2018 13:57:00
Это уже обсуждалось в постах чуть выше вашего, включая ссылку на добавление большего числа устройств. Список, публикуемый Talos, — это перечень тех устройств, на которых был обнаружен вредоносный софт. Можно ожидать, что этот список будет продолжать расти. И ещё раз повторю: это не уязвимость — это вредоносное ПО, установленное через уже существующие слабые места, такие как стандартные/слабые пароли или непатченный прошивка с известными уязвимостями. Короче: всегда меняйте стандартные пароли и держите прошивки устройств в актуальном состоянии. В обсуждениях уже показано, что заражённые устройства либо имели стандартные/слабые пароли, либо непатченные прошивки с известными «дырами», и, как считается, именно так происходило заражение. VPNFilter — хороший пример того, к чему приводит несоблюдение лучших практик, да ещё и в большом масштабе.
 
 
 
#6
07.06.2018 13:31:00
Все устройства с учетными данными по умолчанию подвержены риску.
 
 
 
#7
07.06.2018 12:57:00
Ссылка на обновление от TALOS за вчера (среда, 6 июня 2018 года), в котором также указаны устройства Ubiquiti как пострадавшие.  
ИЗМЕНЕНИЕ: И статья на ArsTechnica.  
Хотя в списке указаны только NSM2 и PBE M5, было бы здорово увидеть простое объяснение проблем и почему остальные устройства не пострадали.
 
 
 
#8
07.06.2018 12:39:00
Вышесказанное очень важно понимать. Любое устройство любого производителя с установленными по умолчанию учетными данными может быть взломано с чрезвычайной лёгкостью. Зацикливаться на NSM2 и PBE M5 — бессмысленно. Все устройства с дефолтными паролями одинаково уязвимы. Как объясняет @waterside, NSM2 и PBE M5 — это лишь те модели, которые они обнаружили до сих пор. Пожалуйста, перестаньте сосредотачиваться только на этих двух моделях.
 
 
 
#9
07.06.2018 12:39:00
Это один момент, которого я явно не увидел в блоге Talos... что уязвимость требует входа в систему... (Я вроде бы так и думал, но мне нравится, когда такие вещи явно прописаны... хотя, наверное, я просто не читал это достаточно внимательно).
 
 
 
#10
07.06.2018 12:33:00
Термин «уязвимый» в отношении VPNFilter, скорее всего, не совсем точен. VPNFilter — это вредоносное ПО, которое устанавливается на устройство с использованием стандартных или слабых паролей либо существующих непатченных уязвимостей, дающих достаточный доступ. Сам по себе VPNFilter не является уязвимостью. Любое устройство, которое может быть заражено VPNFilter, может быть заражено и любым другим вредоносным ПО. И наоборот, если устройство может быть инфицировано вредоносным ПО, то VPNFilter — просто один из примеров такого ПО. Устройства, которые перечисляет Talos, — это не «уязвимые» устройства, а те, на которых уже обнаружено заражение. Вот почему этот список растёт и вполне может увеличиваться со временем.
 
 
 
#11
07.06.2018 12:04:00
На самом деле нет никакой разницы между NSM2, PBE M5 и любым другим оборудованием AirMax M. Эти устройства AirMax M часто устанавливались с заводскими логинами и паролями за роутером. Любой заражённый компьютер в этой сети может просканировать подсеть, войти в устройства с дефолтными данными и заразить их. Если вы используете свои учетные данные, а не заводские, и регулярно обновляете прошивку, то вас это, скорее всего, не коснётся.
 
 
 
#12
07.06.2018 11:24:00
Блог Talos утверждает: «Программное обеспечение вредоносного ПО VPNFilter на первом этапе заражает устройства с прошивкой, основанной на Busybox и Linux, и скомпилировано для нескольких архитектур процессоров»... не уверен, значит ли это Busybox НА Linux или буквально системы Busybox И Linux. Поскольку кажется, что Busybox — это подмножество архитектуры Linux, специально разработанное для IoT-устройств, подозреваю, что роутеры на основе более полного подмножества тоже могут быть потенциальными целями.
 
 
 
#13
07.06.2018 06:29:00
Похоже, Cisco Talos опубликовали последствия того, что происходит с системой после заражения (изменение crontab, установка в /var/run/vpnfilter, настройка командного управления и прочее), но не описали исходный вектор заражения. Кажется, что цель — устройства на базе Busybox Linux... Можно предположить, что если устройства USG не открывают ничего, кроме SSH на LAN-интерфейсах, то это не представляет прямой угрозы, если только вредонос не знает про сам контроллер и контроллер не открыт в публичный интернет (или заражение произошло изнутри сети).
 
 
 
#14
07.06.2018 05:59:00
Без изменений по сравнению с тем, что я говорил всё это время. У EdgeOS никогда не было такой серьёзной уязвимости, чтобы её можно было использовать подобным образом. Если установить слишком простые логин и пароль и открыть SSH для всего Интернета, вы сами открываете двери для всевозможных злоумышленников. Нет никаких признаков, что именно VPNFilter как-то влияет на EdgeOS, но существует множество ботнетов, сканирующих SSH и взламывающих системы с простыми паролями и открытым SSH.

Устройства airOS, на которые повлияли проблемы, пострадали из-за старых уязвимостей, которые уже давно исправлены.
 
 
 
Страницы: 1
Читают тему (гостей: 1)