Cuidado si tienes un dispositivo de red Ubiquiti: encuentran más de 485.000 equipos vulnerables

Escrito por Rubén Velasco

Los dispositivos de red, como router, antenas, repetidores, etc, son los dispositivos más atacados por los piratas informáticos por dos razones, la primera de ellas es que son los dispositivos que tienen conexión directamente con Internet, y la segura porque, controlando uno de ellos, es posible tomar el control sobre el resto de dispositivos de la red local. La seguridad de todos estos dispositivos es vital, y por ello es necesario contar con equipos fiables, con actualizaciones periódicas y con buen soporte de seguridad.

La mayoría de los routers de fabricantes conocidos, sobre todo dentro de la gama alta, suelen recibir actualizaciones periódicas para mantener a los usuarios protegidos de todo tipo de fallos de seguridad. Sin embargo, hay fabricantes para los que la seguridad no es precisamente importante, como ocurre con Ubiquiti.

La semana pasada, la firma de seguridad de Rapid7 detectó cómo casi medio millón de dispositivos Ubiquiti estaban realizando ataques DDoS amplificados a diferentes plataformas de Internet formando una botnet de tamaño considerable.

El fallo de seguridad se encuentra en un “discovery service“, o servicio de descubrimiento, que utiliza el puerto 10.001 y que el fabricante incluyó en sus dispositivos para que los ISP pudieran encontrar fácilmente este tipo de equipos de red, incluso en redes cerradas.

Según la firma de seguridad, los piratas informáticos que tienen estos dispositivos bajo su poder están enviando paquetes de 56 bytes al puerto 10.001, haciendo que los equipos de Ubiquiti los reflejen y amplíen hasta los 206 bytes para enviarlos a una dirección IP de destino, el objetivo.

Aunque ahora mismo el ratio de amplificación de los ataques DDoS es de 3.67, los expertos de seguridad afirman que puede llegar hasta un ratio de 30 o 35, siendo ya un grave peligro para la seguridad.

Ubiquiti dispositivos vulnerables puerto 10001

Como podemos ver, hay dispositivos vulnerables repartidos por todo el mundo, hasta en España, aunque los países más afectados se encuentran en Canadá y Europa del Este.

A pesar del silencio de Ubiquiti al respecto, desde Rapid7 facilitan una lista bastante completa con los modelos vulnerables conectados a la red:

  • NanoStation – 172,563
  • AirGrid – 131,575
  • LiteBeam – 43,673
  • PowerBeam – 40,092
  • NanoBeam – 21,360
  • NanoBridge – 20,440
  • miMo – 15,115
  • LiteAP – 15,035
  • EdgeRouter – 10,229
  • Bullet – 7,125
  • Rocket – 3,284
  • mFi – 2,575
  • BaseStation – 2,218
  • PowerStation – 2,075
  • EdgeSwitch – 583
  • AirFiber – 496
  • AirCam – 433
  • UniFi AP – 353
  • Wave AC – 174
  • UniFi Video Camera – 88
  • EdgePoint – 86
  • ToughSwitch – 79
  • Unifi AC – 33
  • HotSpot – 23
  • LiteStation – 11
  • AirFoil – 8
  • IsoStation – 8
  • Netonix WISP Switch – 8
  • AirVision – 7
  • AirRouter – 1
  • SunMax – 1

Algunos dispositivos no habían sufrido modificaciones por parte de los piratas informáticos, aunque otros sí habían sido reconfigurados, asignando nombres como “HACKED-ROUTER-HELP-SOS-HAD-DUPE-PASSWORD” o “HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED”, entre otros. En total, más de 100.000 equipos Ubiquiti cuyas configuraciones han sido modificadas.

No hay ningún parche de seguridad; si tienes un dispositivo Ubiquiti probablemente estés en peligro

Por el momento no hay ningún parche de seguridad para los dispositivos afectados por esta vulnerabilidad que nos permita solucionarla y poder estar protegidos frente a las amenazas que se esconden en la red.

Aunque Ubiquiti ha empezado ya a estudiar el problema de seguridad y asegura estar trabajando en una solución, según afirman los expertos de seguridad de Rapid7, esta vulnerabilidad lleva afectando a los usuarios desde julio del año pasado, y no ha sido hasta ahora cuando ha llamado la atención del fabricante.

Mientras llega la actualización, la única solución que da el fabricante es bloquear el puerto 10.001 en los perímetros de la red, evitando que el ataque DDoS pueda llegar a afectar al sistema.

Ubiquiti, un fabricante para el que la seguridad no es lo importante

No es la primera vez que los dispositivos de este fabricante están en peligro. Sin ir más lejos, en 2017 se encontraros varias vulnerabilidades graves en los equipos de Ubiquiti, y no solo eso, sino que no es la primera vez que este fabricante se niega a reconocer una vulnerabilidad, a pesar de tener pruebas de la peligrosidad. El típico “not a bug, it’s a feature“.

Si estamos pensando en montar una red, tanto empresarial como personal, es mejor que evitemos los dispositivos de este fabricante, al menos si estamos buscando una red segura y robusta.

Fuente > Rapid7