Маршрутизаторы Ubiquiti Networks атакует опасный червь

Производитель сетевого оборудования Ubiquiti Networks сообщил о появлении червя, атакующего маршрутизаторы с устаревшими версиями прошивки. По словам представителей компании, червь использует эксплоит с целью инфицирования устройств Ubiquiti airOS M. Вредонос создает свою учетную запись на скомпрометированном устройстве и заражает другие маршрутизаторы, находящиеся внутри одной подсети, или в других сетях. Проблема затрагивает устройства, на которых установлены устаревшие неисправленные версии прошивки AirOS 5.6.2 и ниже.

Ubiquiti Networks выпустила патч для эксплуатируемой червем уязвимости еще год назад, однако многие пользователи до сих пор не применили его, за что сейчас и расплачиваются.

На первом этапе атаки червь инфицирует один маршрутизатор, а затем распространяется на другие устройства в сети. Вредонос пытается подключиться к устройству через протоколы HTTP/HTTPS. Проэксплуатировав уязвимость в прошивке, червь удаленно создает свою копию на маршрутизаторе, а также учетную запись с именем пользователя mother и паролем f u c k e r. Далее червь блокирует доступ администратора через web-интерфейс, копирует себя в файл rc.poststart и загружает предварительно скомпилированную версию библиотеки cURL. Затем вредоносная программа сбрасывает настройки скомпрометированного устройства до заводских и пытается инфицировать другие маршрутизаторы в сети.