راهکارهای امن سازی دستگاه‌های یوبی‌کوئیتی (Ubiquiti) جهت مقابله با حملات DDOS

در بهمن ماه سال 1397 اخباری مبنی بر سوء استفاده از دستگاه‌های یوبی‌کوئیتی ( #Ubiquiti )برای انجام حمله DDoSبا بیت‌ریت قابل توجه منتشر شد. این حمله از آسیب‌پذیر بودن سرویس فعال بر روی پورت UDP/10001این دستگاه‌ها سوء‌استفاده نموده بود (دستگاه‌های یوبی‌کوئیتی برای تسریع عملیات شناسایی شدن توسط سایر تجهیزات شبکه، سرویس معرفی خود را بر روی پورت 10001 خود اجرا می‌کنند). نفوذگران دریافته بودند که می‌توانند با ارسال بسته‌های UDPکوچک 56 بایتی، پاسخی 206 بایتی دریافت کنند و بدین ترتیب حملات DDOS Amplificationای با ضریب تقویت حدود 3.67 ترتیب داده بودند (جزء حملات DDOS Amplificationبا ضریب تقویت پائین محسوب می‌گردد).

در سال 2016 میلادی نیز بات‌نتی با نام Brickerbot، نام میزبان برخی از دستگاه‌های یوبی‌کوئیتی آسیب‌پذیر را تغییر داده بود. هدف نویسنده این بات‌نت، تخریب دستگاه‌های آسیب‌پذیر IoTپیش از آلوده شدن به سایر بدافزارها مانند miraiو شرکت ناآگاهانه در حملات آتی بوده است. وی قصد داشته صاحبان دستگاه‌های آسیب‌پذیر را مجبور کند تا دستگاه‌های خود را به روزرسانی کنند. هر دستگاه یوبی کوئیتی که "سرویس Telnetآن از طریق شبکه اینترنت قابل دسترسی بوده و تنظیمات کارخانه دستگاه تغییر داده نشده باشد" یا "به روز نشده و آسیب‌پذیر باشد" در معرض آلودگی به این بات‌نت قرار داشت (یکی از نام‌های کاربری و پسوردهای مورد استفاده برای حمله که به طور پیش فرض در دستگاه‌ها وجود دارد نام کاربری و رمزعبور ubntاست). این شبکه بات در صورتی که دستگاهی با چنین مشخصاتی شناسایی می‌نمود، مقدار hostnameدستگاه را به یکی از موارد زیر تغییر می‌داد تا به مالکان راجع به آسیب‌پذیری سوء استفاده شده هشدار دهد:

HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD
HACKED-ROUTER-HELP-SOS-HAD-DUPE-PASSWORD
HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD
HACKED-ROUTER-HELP-SOS-VULN-EDB-39701
HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED
HACKED-ROUTER-HELP-SOS-WEAK-PASSWORD

نام‌های تغییر یافته نشان‌دهنده استفاده از پسوردهای ضعیف، ساده و پیش فرض و حتی استفاده از نسخه به روز نشده (به عنوان نمونه، دارای آسیب‌پذیری آپلود فایل با شماره VULN-EDB-39701) توسط کاربران است.

این تجهیزات اغلب توسط شرکت‌های بزرگ ارائه‌دهنده خدمات اینترنت مورد استفاده قرار می‌گیرند.

روش مقابله و امن‌سازی

برای جلوگیری از انواع حملات تشریح شده به دستگاه‌های یوبی‌کوئیتی لازم است موارد زیر هرچه سریع‌تر در دستگاه‌های آلوده اعمال شوند:

• مسدود کردن دسترسی به پورت UDP/10001 از بیرون شبکه (در صورت عدم امکان مسدودسازی لازم است در تنظیمات دستگاه قابلیت discovery این سرویس با استفاده از دستور زیر غیر فعال شود).

set service ubnt-discover disabl

• تنظیمات کارخانه‌ای دستگاه تغییر داده شوند.
• دسترسی به telnet دستگاه غیر فعال شود.
• دستگاه به روزرسانی شود.
• درخصوص آن دسته از دستگاه‌هایی که نام میزبان آن‌ها تغییر یافته است، بایستی Firmware دستگاه مجدداً نصب و پیکربندی گردد.