‫ راهکارهای امن‌سازی دستگاه‌های یوبی‌کوئیتی (UBIQUITI) جهت مقابله با حملات DDOS

‫ راهکارهای امن‌سازی دستگاه‌های یوبی‌کوئیتی (UBIQUITI) جهت مقابله با حملات DDOS

در بهمن ماه سال 1397 اخباری مبنی بر سوء استفاده از دستگاه‌های یوبی‌کوئیتی (‫Ubiquiti)برای انجام حمله DDoS با بیت‌ریت قابل توجه منتشر شد. این حمله از آسیب‌پذیر بودن سرویس فعال بر روی پورت UDP/10001 این دستگاه‌ها سوء‌استفاده نموده بود (دستگاه‌های یوبی‌کوئیتی برای تسریع عملیات شناسایی شدن توسط سایر تجهیزات شبکه، سرویس معرفی خود را بر روی پورت 10001 خود اجرا می‌کنند). نفوذگران دریافته بودند که می‌توانند با ارسال بسته‌های UDP کوچک 56 بایتی، پاسخی 206 بایتی دریافت کنند و بدین ترتیب حملات DDOS Amplification ای با ضریب تقویت حدود 3.67 ترتیب داده بودند (جزء حملات DDOS Amplification با ضریب تقویت پائین محسوب می‌گردد). در سال 2016 میلادی نیز بات‌نتی با نام Brickerbot، نام میزبان برخی از دستگاه‌های یوبی‌کوئیتی آسیب‌پذیر را تغییر داده بود. هدف نویسنده این بات‌نت، تخریب دستگاه‌های آسیب‌پذیر IoT پیش از آلوده شدن به سایر بدافزارها مانند mirai و شرکت ناآگاهانه در حملات آتی بوده است. وی قصد داشته صاحبان دستگاه‌های آسیب‌پذیر را مجبور کند تا دستگاه‌های خود را به روزرسانی کنند. هر دستگاه یوبی کوئیتی که "سرویس Telnet آن از طریق شبکه اینترنت قابل دسترسی بوده و تنظیمات کارخانه دستگاه تغییر داده نشده باشد" یا "به روز نشده و آسیب‌پذیر باشد" در معرض آلودگی به این بات‌نت قرار داشت (یکی از نام‌های کاربری و پسوردهای مورد استفاده برای حمله که به طور پیش فرض در دستگاه‌ها وجود دارد نام کاربری و رمزعبور ubnt است). این شبکه بات در صورتی که دستگاهی با چنین مشخصاتی شناسایی می‌نمود، مقدار hostname دستگاه را به یکی از موارد زیر تغییر می‌داد تا به مالکان راجع به آسیب‌پذیری سوء استفاده شده هشدار دهد: -SOS-DEFAULT-PASSWORDHACKED-ROUTER-HELP -SOS-HAD-DUPE-PASSWORDHACKED-ROUTER-HELP -SOS-HAD-DEFAULT-PASSWORDHACKED-ROUTER-HELP HACKED-ROUTER-HELP-SOS-VULN-EDB-39701 HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED HACKED-ROUTER-HELP-SOS-WEAK-PASSWORD نام‌های تغییر یافته نشان‌دهنده استفاده از پسوردهای ضعیف، ساده و پیش فرض و حتی استفاده از نسخه به روز نشده (به عنوان نمونه، دارای آسیب‌پذیری آپلود فایل با شماره VULN-EDB-39701) توسط کاربران است. این تجهیزات اغلب توسط شرکت‌های بزرگ ارائه‌دهنده خدمات اینترنت مورد استفاده قرار می‌گیرند روش مقابله و امن‌سازی برای جلوگیری از انواع حملات تشریح شده به دستگاه‌های یوبی‌کوئیتی لازم است موارد زیر هرچه سریع‌تر در دستگاه‌های آلوده اعمال شوند: 1.مسدود کردن دسترسی به پورت UDP/10001 از بیرون شبکه (در صورت عدم امکان مسدودسازی لازم است در تنظیمات دستگاه قابلیت discovery این سرویس با استفاده از دستور زیر غیر فعال شود) set service ubnt-discover disable 2.تنظیمات کارخانه‌ای دستگاه تغییر داده شوند. 3.دسترسی به telnet دستگاه غیر فعال شود. 4.دستگاه به روزرسانی شود. 5.درخصوص آن دسته از دستگاه‌هایی که نام میزبان آن‌ها تغییر یافته است، بایستی Firmware دستگاه مجدداً نصب و پیکربندی گردد.