Sofortbildkamera Ubiquiti-G4 und Router weisen Sicherheitslücken auf

Sicherheitsforscher von Check Point haben sich die beliebte Fotokamera Ubiquiti-G4  angeschaut und fanden heraus, dass über 20 000 Geräte anfällig für Cyber-Attacken sind. Dies betrifft auch das begleitende Internet-Gerät Cloud-Key+.

 Ursprünglich wurde im Jahr 2019 bekannt, dass fast 500 000 Geräte von Ubiquiti anfällig für DoS-Attacken sind. Der Hersteller wurde informiert und gab bekannt, dass die Sicherheitslücke mittels Patch geschlossen wurde und sämtliche Geräte mit der jüngsten Firmware versehen worden sind. Nun, fünf Jahre später, fand Check Point Research (CPR) heraus, dass noch immer über 20 000 Geräte anfällig für diese Attacke sind. Die Sicherheitsforscher betrachten dies als ein Beispiel für die Schwierigkeit, eine Schwachstelle vollständig auszumerzen, vor allem bei IoT-Geräten (Internet of Things). Die Daten, die hier gestohlen werden könnten, würden sich sowohl für technische Angriffe als auch Social-Engineering nutzen lassen. Die Sicherheitsforschung hat vor allem gezeigt, wieviel personenbezogene Daten die Nutzer unbemerkt freigeben und sich damit einer Hacker-Gefahr aussetzen.

Die Sicherheitsforscher haben entdeckt, dass, neben dem Secure-Shell (SSH) -Protokoll (das manuell aktiviert werden muss) und einem Webserver für die Standardverwaltung, zwei benutzerdefinierte privilegierte Prozesse auf der Netzwerkschnittstelle der Kamera offengelegt wurden. Sie verwenden das UDP-Protokoll an den Ports 10001 und 7004. Sicherheitslücken in diesen Diensten können zu einer vollständigen Infiltrierung des Geräts führen.

Die entschlüsselten Host-Namen enthüllten detaillierte Informationen über die Geräte, einschließlich der Namen der Besitzer und der Standorte, die beispielsweise für Social-Engineering-Angriffe ausgenutzt werden könnten. Beispiele für offengelegte Daten sind:

  • Geräte-Identifizierung: Enthüllung von Gerätetypen, wie Nanostation-Loco-M2 oder Airgrid-M5-HP.
  • Informationen über den Besitzer: Vollständige Namen, Firmennamen und Adressen, die Anhaltspunkte für gezielte Angriffe liefern.

Einige Geräte zeigten sogar Warnungen wie „HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD“ an, die darauf hinwiesen, dass sie attackiert worden waren.

Über das Monitoring-Tool tcpdump identifizierten die Forscher auf dem Port 10001 das Ubiquiti-Erkennungsprotokoll. Das Cloudkey+-Gerät sendete zudem regelmäßig Ping-Pakete an Multicast- und erkannte Geräte, und die Kamera antwortete mit Meldungen, die detaillierte Informationen wie Plattformname, Softwareversion und IP-Adressen enthielten. Zwei wichtige Punkte fielen auf:

  • Keine Authentifizierung: Das Erkennungspaket (ping) enthielt keine Authentifizierung.
  • Verstärkungspotenzial: Die Antwort der Kamera war deutlich größer als das Erkennungspaket, was auf ein Potenzial für Wirkungsverstärkerangriffe hinweist.

Die Forscher waren in der Lage, ein gefälschtes Erkennungspaket an das interne Testnetzwerk zu senden und sowohl die G4-Kamera als auch die CK+ reagierten. Anschließend prüften sie, ob sich dieses Verhalten auch über das Internet reproduzieren ließ. Trotz Port-Weiterleitung reagierten die Geräte nicht auf Internet-Sonden, was wahrscheinlich auf die spezielle Netzwerkeinrichtung und NATing von CPR zurückzuführen ist. Mit einem benutzerdefinierten Decoder konnten die Experten jedoch über 20 000 Ubiquiti-Geräte im Internet identifizieren. Zufällige Stichproben zeigten, dass auch diese Geräte auf gefälschte Pakete reagierten. Dieses Problem wurde bereits früher gemeldet (CVE-2017-0938) und eigentlich von Ubiquiti behoben, wie oben beschrieben.

Check Point Research hat Ubiquiti bezüglich der Geräte kontaktiert, die auf den Internet-Test reagiert haben. Ubiquiti teilte mit, dass dieses Problem mit einem Patch behoben wurde. Geräte mit der neuen Firmware sollten nur noch auf Discovery-Pakete reagieren, die von internen IP-Adressen gesendet werden. Somit sollte jeder Nutzer sein Gerät umgehend aktualisieren.

Die Behebung von Fehlern und Sicherheitsproblemen in IoT-Geräten nach dem Verkauf ist eine große Herausforderung. Im Gegensatz zu Cloud-Diensten, bei denen ein einziger Patch sofort alle Benutzer schützen kann, verbreiten sich Updates für IoT-Geräte nur langsam und es dauert oft Jahre, bis sie alle Geräte erreichen. Einige Benutzer aktualisieren ihre Systeme möglicherweise nie, so dass sie dauerhaft verwundbar bleiben. Daher ist es unerlässlich, IoT-Geräte nach den Grundsätzen des Security-by-Designs zu entwickeln und ab Werk verschiedene Schutzmechanismen gegen Exploits und Malware einzubauen.

Diese Ratschläge sollten Kamerabesitzer befolgen, um eine Virus-Infektion oder Hacker-Attacke zu vermeiden:

  • Sicherstellen, dass die Kamera die neueste Firmware-Version verwendet und alle Patches installiert wurden.
  • Viele IoT-Anbieter aktivieren standardmäßig automatische Updates. Diese sollte angeschaltet bleiben. Im Zweifel den Verkäufer oder Hersteller fragen..
  • Wenn möglich, sollten IoT-Geräte, wie Kameras, nicht direkt dem Internet verbunden werden. Falls doch, sollte sichergestellt werden, dass nicht mehr Informationen über den Nutzer preisgegeben werden, als nötig (wie Namen, Adressen und andere identifizierbare Informationen).

Info: Mehr dazu im Check-Point-Blog: https://blog.checkpoint.com/research/over-20000-ubiquiti-cameras-and-routers-are-vulnerable-to-amplification-attacks-and-privacy-risks/

#CheckPoint