[atnog] Ubiquiti AirOS/AirMax Worm / DNS Flooding
Otmar Lendl
lendl at cert.at
Wed May 18 08:39:46 CEST 2016
Werte Liste,
wir bekamen Berichte, dass ein Wurm (also sich selber weiterverbreitende
Malware) unterwegs ist, die eine Schwachstelle in älteren Version von
AirOS (von Ubiquiti Access Points) ausnutzt.
Die ersten korrigierten Versionen sind:
5.5.11 XM/TI
5.5.10u2 XW
5.6.2 XW/XM/TI
Siehe dazu
http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940
und
https://hackerone.com/reports/73491
Im Zuge der Weiterverbreitung generiert der Wurmcode massenhaft (eine
Quelle spricht von 5000 qps) DNS Lookup in der Art von:
> 16-May-2016 16:47:47.467 client 8X.1X0.3Y.40#44968: query: 323.016.231.212 IN AAAA + (8X.1X0.Y.Y)
> 16-May-2016 16:47:47.467 client 8X.1X0.3Y.40#38600: query: 235.326.031.064 IN AAAA + (8X.1X0.Y.Y)
> 16-May-2016 16:47:47.467 client 8X.1X0.3Y.40#51399: query: 331.206.372.214 IN AAAA + (8X.1X0.Y.Y)
Siehe https://lists.isc.org/pipermail/bind-users/2016-May/096861.html
Das mag schon wie ein DoS auf den Recursor wirken.
mfg,
Otmar Lendl
--
// Otmar Lendl <lendl at cert.at> - T: +43 1 5056416 711
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://atnog.at/pipermail/atnog/attachments/20160518/8d3ef70c/attachment.sig>
More information about the atnog
mailing list