Command injection-lek vastgesteld in Ubiquiti-netwerkapparatuur
Medewerkers van het Oostenrijkse beveiligingsbedrijf SEC Consult hebben tijdens een onderzoek vastgesteld dat er sprake was van een beveiligingslek van meerdere Ubiquiti-netwerkapparaten. Deze lekken zouden een aanvaller de mogelijkheid bieden om het apparaat over te nemen. De kwetsbaarheid zou ondertussen wel door middel van de nodige patches reeds zijn verholpen.
PHP-versie uit 1997
De kwetsbaarheid die werd opgemerkt door de medewerkers zou er volgens het bedrijf voor zorgen dat ‘command injection’ mogelijk wordt gemaakt in de beheerdersinterface van meerdere Ubiquiti-apparaten. Het lek was aanwezig in een script dat onder meer kwetsbaar was omdat er gebruik bij wordt gemaakt van een php-versie uit het jaar 1997.
Een aanvaller kon op eenvoudige wijze gebruikmaken van het lek door het slachtoffer bijvoorbeeld op een bepaalde link te laten klikken of door te sturen naar een schadelijke website. Hiervoor zou enkel en alleen een GET-verzoek nodig zijn. Dit komt door het ontbreken van bescherming tegen csrf.
Potentiële overname van volledig netwerk
Het lek zou er voor hebben gezorgd dat een aanvaller de mogelijkheid had om zomaar een volledig netwerk over te nemen. Dit zou kunnen gebeuren in situaties waarin het kwetsbare apparaat wordt ingezet als router of firewall. In het bericht dat SEC Consult heeft gepubliceerd naar aanleiding van het lek werd een lijst geplaatst met kwetsbare apparaten.
Het bedrijf stelde de kwetsbaarheid vast in november van vorig jaar waarna Ubiquiti via HackerOne op de hoogte werd gebracht. Het duurde uiteindelijk wel nog tot januari van dit jaar vooraleer er duidelijk nieuws verscheen over de patch die een einde moest maken aan het lek. Het probleem zou in ieder geval zijn opgelost in versie 8.0.1 van AirOS.