FBI stänger malware-nätverk i Ubiquiti-routrar

SSH är inte öppet utåt mot internet, så det behöver du inte oroa dig för.

Vill säga att det är användaren i hemmet som är värst och inte faktiskt uppdaterar vad man kan.

PS. Hur illa kan det vara om man stängt av åtkomst till router utanför LAN, bytt användare och lösenord? Endast portar för Plex, VPN samt EA Battlefield öppet..

Det räcker tyvärr inte. Även om routrar som inte får säkerhetsuppdateringar inte får säljas skulle de redan sålda bli sårbara. En garanti om säkerhetsuppdateringar till ett vist årtal vore bättre. Stöd för helt öppen programvara det bästa.

Jag gissar att din routertillverkare inte tydligt markerar om din router är EOL eller ej. Tyvärr är det ju vanligt och det är svårt att veta om en produkt underhålles eller ej baserat på senaste uppdatering. När ska man dra gränser och byta ut?

Ovanstående gjorde mig faktiskt så less att jag bytte till att köra min router på en x86-dator med OPNsense. Dyrt i inköp och hög tröskel att komma igång men jag räknar inte med att det blir så dyrt utslaget över tid.

Nej, det rör inte dig. Rör enbart EdgeRouter-serien, ingenting i Unifi-serien.

Vad det verkar så var dessa routrar alltså exponerade mot internet på olämpligt sätt och använde standardlösenordet. Ändå kretsar diskussionen i kommentarerna kring att man måste uppdatera sin firmware. Absolut. Men det var ju inte riktigt det som var problemet här och produkten bör därmed inte anses som mindre säker pga denna fadäs.

Hurvida det verkligen var standardlösen är svårt att veta då det inte är ovanligt att även rätt kunniga tekniker sätter rätt svaga lösen som går att brute forcea. Och förhoppningsvis kan en pach förhindra att maleware kan installeras även om detta verkar vara en relativt riktad attack så kommer andra grupper att utnyttja metoden för inte fullt lika riktade attacker och kanske för andra syften om inte routrarna pachas. Sen att diskussionen blivit mer allmän är väl för att säkerhetsproblem visat sig i en mängd olika routrar och ofta finns redan en patch ute, men det hjälper ju inte om den inte installeras.

Eftersom det (vad det verkar) endast var så att det var svaga lösenord eller defaultlösenord (och exponerat mot internet) som var problemet så ser jag inte vilket problem en patch skulle lösa och hur någon annan grupp hackare skulle utnyttja detta om man inte släpper en patch. Vilket säkerhetshål ska man täppa till?

Patch notes V 1.4.7
* fixed a bug in the uneducated sloppy IT admin that continously exposes the admin interface to the internet with the default admin password

https://www.justice.gov/opa/pr/justice-department-conducts-co...

This botnet was distinct from prior GRU and Russian Federal Security Service (FSB) malware networks disrupted by the Department in that the GRU did not create it from scratch. Instead, the GRU relied on the “Moobot” malware, which is associated with a known criminal group. Non-GRU cybercriminals installed the Moobot malware on Ubiquiti Edge OS routers that still used publicly known default administrator passwords. GRU hackers then used the Moobot malware to install their own bespoke scripts and files that repurposed the botnet, turning it into a global cyber espionage platform.

Vet inte om jag har missat något här, men hur kan detta problem vara relaterat till just Ubiquiti. I princip alla routrar kör väl med default lösenord tills du själv har gått in och ändrat det. Kör själv en EdgeRouter Lite som fungerar bra och får fortfarande sporadiska hotfixes. Ubiquiti ska ha återupptagit utvecklingen av sitt EdgeOS och har redan släppt en förhandsversion av EdgeOS 3.0.

Funderar lite på hur det kommer sig att inte Internet-leverantörerna har en tjänst där man kan köra sin router virtualiserat hos leverantören istället. Kanske kräver lite ändringar i modemet, men borde vara fullt möjligt.

Tror inte routrar uppdateras så länge? Min Linksys EA7500 V2 fick sista uppdateringen 2019 och det är nog samma år jag köpte den.

Fast vektorn var ju publikt tillgängliga inloggningsuppgifter enligt standard-konto (otroligt lat av Ubiquity att inte slumpgenerera denna typen av information). Så om du bytte standarduppgifter a för adminkontot så är risken i praktiken väldigt liten.

Nja, mycket av deras open source-kod brukar fungera såvitt jag vet. Broadcom däremot är vedervärdiga.

Det var väl främst för att angriparna valt den plattformen att bygga för efter att ha konstaterat att de hittat ett flertal sådana med admin-interface exponerat mot internet. Det är alltid enklare att standardisera runt en viss plattform än att bygga för varje skräprouter de hittar.

EdgeOS 3.0 är än så länge främst förändringar av GUI:t för att matcha deras andra enheters designspråk bättre. Förhoppningsvis innebär det dock att de även kommer att göra ytterligare funktionella ändringar längre fram när GUI-förändringarna är klara. Något som dock talar emot det är att de SoC:er som flera av dessa routrar bygger på inte längre säljs, så att tillverka nya exemplar att sälja för att faktiskt täcka kostnaden för vidareutveckling riskerar att bli svårt.

Än så länge är det bara ett nytt GUI (och stöd för WireGuard). Vi får se hur mycket nyutveckling de faktiskt kommer göra. Det är dock kul att äntligen få något annat än säkerhetsuppdateringar.

Nej, de flesta gör det inte tyvärr. Där har Ubiquiti stuckit ut med EdgeRouter-serien som uppdaterats sedan 2013, om än främst säkerhetsuppdateringar de senaste åren.

Ja tyvärr ätr detta en realitet. Galet med tanke på hur viktig routern är i våra hem. Att bygga egen router är väl egentligen enda hållbara strategin om man besitter den kunskapen.

Alternativt att man confat sönder setupen och satt sig i skiten. Sist jag uppgraderade min UDM Pro från v 1.x till 2.x så tog det runt 6 timmar att få allt att lira igen. Både pga att Ubiquiti själva lyckats med breaking changes, sen att man själv lagt till egna script och skit som slutade funka.

Polaren gick från 2.x till 3.x för några veckor sen, då sket sig allt så hårt att han fick köra en reset och börja om från början.
Är därför lagom sugen att bumpa till 3.x...

Jag är inte supernöjd med Ubiquiti för tillfället, men har varken pengar eller idéer på ett komplett system (router, switch, AP) att byta ut till.

vad menar du? Tryck på users för att byta lösenord, ssh kan slås av/på under system tabben.

Tillgång till routern från internet blockas genom brandväggsregler, det var länge sedan jag skaffade min men enligt Google så skapar setup wizarden det automatiskt om man använder den.

Om det är så att routern helt saknar brandväggsregler ifall man inte använder wizarden så är det väl säkert halva problemet till dom här felkonfade routrarna.

Ja, de inbyggda guiderna skapar regler som blockerar detta.

Ubiquiti motiverar det med att enhetens primära funktion är som en router, inte en brandvägg. VyOS är precis likadant med exakt samma motivering. Antagandet är att folk vet vad de gör, eller använder guiderna. Gör man inte det sistnämnda så har man ju ingen NAT heller, så man lär märka att saker inte fungerar som man tänkt sig. Tror snarare att det handlar om att folk manuellt öppnat upp tillgång till admin-gränssnitten från internet för att det "är smidigt", utan att tänka på vad det innebär. Det är trots allt inte alla som vet att det är fullt rimligt att skanna av hela IPv4-internet med verktyg som masscan etc. eller söka i datan för tjänsterna som redan gör det.

När det gäller lösenordet så blir man ombedd/tvingad att byta i senare versioner, men det är relativt lätt att komma runt detta eller helt enkelt misslyckas med att göra bytet.

Finns nog inget sämre på IT-sidan än just nätverksprodukter. Tom på svindyra enterprise brandväggar/routrar och switchar så släpper de nya versioner med viktiga fixar men alla avråder starkt från att använda de versionerna då de ofta introducerar mängder med andra fel. Verkar som om de är helt oförmögna att bara patcha vad som är fel utan känner sig också tvingade att stoppa in en massa andra orelaterade ändringar samtidigt. Ta t.ex Palo Alto, 11.1 är senaste men alla rekommenderar att du kör enbart med 10.10 (och då har det också släppts mängder med nyare version i 10.x serien). Satans lekstuga är vad det är.

SSH till routern från Internet är inget problem om de bara hade kört med det som det är meningen, dvs med nycklar istället för lösenord. Åter en sådan sak där det är lekstuga hos tillverkarna.

Går att beställa en minpc från aliexpress billigt, så behöver man inte bygga något. Finns t.o.m med pfsense förinstallerat.

Har en qotom med passivt kyld i3 som funkat felfritt i flera år nu.

Du kan vad jag vet sätta upp nycklar om du vill, vilket absolut är det enda man bör tillåta om man absolut envisas med att exponera den mot internet. Att de initialt enbart har ett lösenord är ju dock inget konstigt, men de skulle kunna vara bättre på att påpeka för användarna hur de lägger till sina publika nycklar.