패치되지 않은 유비 쿼티 무선 장치에 웜 감염

이 공격은 라우터 보안과 관련된 주요 문제점 중 하나를 강조합니다. 대다수의 사용자는 자동 업데이트 메커니즘이 없으며 사용자가 수동으로 업데이트하는 일이 거의 없습니다.

웜은 취약한 장치에 대한 백도어 관리자 계정을 만든 다음이를 사용하여 같은 장치에서 다른 장치를 검색하고 감염시킵니다

[추가 정보 : Windows PC에서 멀웨어를 제거하는 방법]

"이것은 인증을 필요로하지 않는 HTTP / HTTPS 공격입니다."유비 쿼티 (Ubiquiti)는 자문을 통해 다음과 같이 말했습니다. Airline M 시리즈 디바이스에 대한 공격은 관찰되었지만 에어 맥스 AC, airOS 802.11G, ToughSwitch, AirGateway 및 AirFiber 장치가 오래된 펌웨어를 실행하는 경우에도 영향을받습니다.

버그는 전년도에 Ubiquiti에 버그 범용 프로그램을 통해 개인적으로보고되었으며 airMAX v5.6.2, airMAX AC v7.1.3, airOS 802.11g v4.0.4, TOUGHSwitch v1.3.2, airGateway v1.1.5, airFiber AF24 / AF24HD 2.2.1, AF5x 3.0.2.1 및 AF5 2.2.1. 해당 버전보다 새로운 펌웨어를 실행하는 장치는 보호해야합니다.

airMAX M 장치의 경우 최신 5.6.5 버전으로 업그레이드 할 것을 권장합니다. 그러나이 버전은 rc.script에 대한 지원을 제거하므로 해당 기능을 사용하는 사용자는 당분간 5.6.4를 유지해야합니다.

방화벽 필터링을 사용하여 관리 인터페이스에 대한 원격 액세스를 제한하는 것이 좋습니다.

시만텍의 연구원에 따르면이 웜은 백도어 계정을 만들기 위해이 결함을 악용 한 후 합법적 인 관리자가 웹 기반 관리 인터페이스에 액세스하는 것을 차단하기 위해 방화벽 규칙을 추가합니다. 또한 장치를 재부팅 할 때마다 rc.poststart 스크립트에 자신을 복사합니다.

"지금까지이 멀웨어는 백도어 계정을 만들지 않고 장치에 대한 액세스를 차단하는 것 이외의 다른 작업을 수행하지 않는 것처럼 보입니다 시만텍의 연구원들은 목요일 블로그 포스트에서 "다른 라우터로 확산되고있다"고 말했다. Ubiquiti Networks는 "이 캠페인의 배경에있는 공격자가 맹공격을 퍼붓기 위해 웜을 퍼뜨릴 가능성이 높으며 대규모 운영에 대한 초기 단계의 증거가 될 수 있습니다."라고 덧붙였습니다.

Ubiquiti Networks는 Java 기반 감염된 장치에서 감염을 자동으로 제거 할 수있는 응용 프로그램입니다. Windows, Linux 및 OS X에서 사용할 수 있습니다.

라우터 보안은 수 년 동안 알려진 취약성에 대해 많은 수의 라우터가 취약한 상태를 유지할 수있는 소비자 시장에서 특히 나쁘며 분산 된 거부 공격을 생성하기 위해 한꺼번에 손상 될 수 있습니다. - 서비스 (DDoS) 봇넷을 사용하거나 사용자에 대해 중간자 공격을 시작하는 경우가 있습니다.

과거에는 공격자가 기본 또는 공통 사용자 이름과 암호를 사용하여 수십만 개의 홈 라우터를 납치했습니다. 사용자는 라우터를 설치할 때 항상 기본 관리자 암호를 변경해야하며이 기능이 필요하지 않으면 관리 인터페이스에 대한 원격 액세스를 비활성화해야합니다.