Vlákno názorů k článku Motherfucker: virus v bezdrátových zařízeních Ubiquiti (AirOS) od Danny - I primo dle Ubiquiti je aktivne vyuzivana predevsim...
-
DannyStříbrný podporovatelI primo dle Ubiquiti je aktivne vyuzivana predevsim zranitelnost opravena v cervenci (!) 2015. Dalsi bezpecnostni opravy vysly na konci listopadu 2015 - a mame kveten 2016. Bez nadsazky lze tedy rict, ze postizene site si za problemy muzou samy - svym vlastnim pristupem k (ne)provadeni aktualizaci, at uz jimi udavane "duvody" budou jakekoliv. A pokud je vedome provozovana starsi verze se znamymi zranitelnostmi, je na miste alespon jinak resit zabezpeceni pristup na management takovych zarizeni. Nic z toho spousta nasich "ISP" neudelala.
Odkazovana verze 5.6.5 naopak zminovane pouziti uzivatelskych scriptu zcela znemoznuje - a sam vyrobce doporucuje zustat na dubnove 5.6.4 tam, kde jsou scripty vyuzivane.
-
Skudlik (neregistrovaný)
Naopak si myslim, ze toto je predevsim velka chyba Ubiquiti.
1) Popsat naprosto fatalni bezpecnostni chybu nic nerikajici hlaskou "- airMAX: Security improvements " a cely problem se snazit zamest pod koberec - to mi neprijde vubec jako zodpovedne reseni !!!
2) https://hackerone.com/reports/73480 .. pokud se da tomuto zdroji verit, tak UBNT vyplatila 18000$ za nalezeni teto chyby .. (v listopadu 2015), slibovala vydani CVE (coz se ovsem nikdy nestalo!) .. 3 mesice zpet byla tato chyba "odtajnena" , takze zneuziti se dalo jasne ocekavat ...
3) ftipne je, ze ten exploit report byl jeste pred tydnem kompletne pristupny - vcetne veskerych informaci jak tuto bezpecnostni diru zneuzit a komunikace mezi nalelezcem a zastupcem Ubiquiti a hlasky od Ubiquiti, ze bude vydano CVE. Po masivnim rozsireni viru je vse opet skryto .. otazkou je, jestli kvuli detailnim informacim o chybe .. nebo aby nebylo videt, ze Ubiquiti moc dobre vedela jaky pru-ehm-svih to je, a ze misto oznameni teto chyby a sypani si popela na hlavu se ji snazila naopak co nejlepe zatlouct...
-
Unknown (neregistrovaný)
"pokud se da tomuto zdroji verit, tak UBNT vyplatila 18000$ za nalezeni teto chyby .. (v listopadu 2015), slibovala vydani CVE (coz se ovsem nikdy nestalo!)"
Ekonomicky nedava prilis smysl aby zaplatili netrivialni penize za nalezeni diry a pak ji dlouho neopravili. Mozna nezname vsechny souvislosti.
-
DannyStříbrný podporovatel
Typicke hledani chyb hlavne u druhych - jen ne u sebe, kde by mel kazdy zacit. Zacal bych u otazek typu jak byl zabezpecen management sitovych prvku proti potencialnimu zneuziti ci jak casto byly realne aktualizace firmware ve vlastni siti provadeny, pokud provadeny vubec byly. Ze CVE vydane nebylo sice neni optimalni stav, na druhou stranu v praxi tento stav nastava pomerne casto - informace je treba umet ziskavat z vice zdroju a nespolehat na jeden (napr. ta CVE databaze). Vlastni funkcni exploit / vektor utoku je stale snadno k nalezeni, staci umet hledat.
