Danke für die Beschreibung eines möglichen Angriffsvektors!
Allerdings setzt dieser voraus, dass man seinen Vigor überhaupt netzintern von einem Client aus ansprechen kann, was ja ohne dies explizit einzurichten erst einmal nicht der Fall ist.
Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellenEs gibt 132 Antworten in diesem Thema, welches 27.585 mal aufgerufen wurde. Der letzte Beitrag () ist von BlackSpy.
Danke für die Beschreibung eines möglichen Angriffsvektors!
Allerdings setzt dieser voraus, dass man seinen Vigor überhaupt netzintern von einem Client aus ansprechen kann, was ja ohne dies explizit einzurichten erst einmal nicht der Fall ist.
Intern ist die Web-Config doch immer erreichbar, wenn man das nicht explicit abschaltet, oder?
Hab meinen Vigor schon länger nicht mehr in Betrieb....
Allerdings setzt dieser voraus, dass man seinen Vigor überhaupt netzintern von einem Client aus ansprechen kann, was ja ohne dies explizit einzurichten erst einmal nicht der Fall ist.
Nun jetzt müsste man wissen wieviele die Kisten als Router betreiben und nicht als "reines" VDSL Modem
hintern einem am WAN Port beschränkten Router wie unsere Unifi Karotten. + die Zahl die dann
auch drauf verzichten mit den Scripten oder einem zweiten Kabel das MGMT verfügbar zumachen.
Klar, ich hatte in meinem Beitrag aber nur auf die Nutzung als Modem abgestellt, denn ich denke niemand in diesem Forum nutzt statt einem Ubiquiti-Router einen Vigor.
dass wenn sie rein als Modem verwendet werden,
Intern ist die Web-Config doch immer erreichbar, wenn man das nicht explicit abschaltet, oder?
Hab meinen Vigor schon länger nicht mehr in Betrieb....
Nein nicht im Bridge-Modus. Man muss an den 2 LAN Port um aufs Interface zu kommen.
richtig. So hatte ich das immer. Aber die kleinen haben nur einen LAN-Port, da sind sie natürlich nicht zugänglich. Das stimmt.
Published: October 16, 2024
Version: 1.0
Revision: 1.0
A Local privilege escalation vulnerability found in a Self-Hosted UniFi Network Server with UniFi Network Application (Version 8.4.62 and earlier) allows a malicious actor with a local system user to execute high privilege actions on UniFi Network Server.
Affected Products:
UniFi Network Application (Version 8.4.62 and earlier) .
Mitigation:
Update UniFi Network Application to Version 8.5.6 or later.
Impact:
CVSS v3.0 Severity and Metrics:
Base Score: 8.8 High
Vector:
CVSS: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CVE: CVE-2024-42028
Reference Links:
diese Malware kann sich wohl gut verstecken.
Zitat:
Die Malware perfctl stellt eine erhebliche Bedrohung für Linux-Server dar und zielt weltweit auf Millionen von Systemen. Über die letzten Jahre hat sie mehr als 20.000 Fehlkonfigurationen genutzt, um Server zu kompromittieren. Besonders gefährdet sind Linux-Server, die mit dem Internet verbunden sind.
[…]
Perfctl nutzt sowohl Unix-Sockets für interne Kommunikation als auch das TOR-Netzwerk für externe Verbindungen, um ihre Aktivitäten zu verschleiern. Nach der Installation löscht die Malware ihre Binärdatei und repliziert sich unter falschen Namen auf der Festplatte, öffnet eine Backdoor und versucht, Root-Rechte über Schwachstellen wie Polkit (CVE-2021-4043) zu erlangen. Häufig wird die kompromittierte Infrastruktur für Krypto-Mining genutzt, was die Serverressourcen stark beansprucht.
Die Malware versteckt sich durch das Manipulieren von Systemdateien und -diensten. Sie modifiziert ~/.profile und ~/.bashrc, um bei jedem Systemstart wieder aktiv zu werden. Programme wie ldd oder crontab werden verändert, um die laufenden Schadprozesse zu tarnen. Zudem nutzt perfctl Rootkits, um sicherheitsrelevante Funktionen wie die Benutzer-Authentifizierung zu umgehen und die Erkennung durch Sicherheitsüberwachungstools zu verhindern.
Danke Grendelbox für den Artikel, ich habe daraufhin noch etwas gesucht und leider findet man nicht wirklich den Verbreitungsweg außer die "Fehlkonfigurationen". Es gibt anscheinend noch einen Angriff auf offene Docker APIs wo sich die Malware dann mit einem privileged Docker container auf dem Host verbreitet.
"Programme wie ... 'crontab' "
Welches Linux wird hier beschrieben?
"Programme wie ... 'crontab' "
Welches Linux wird hier beschrieben?
So ziemlich jedes….
Kenne jedenfalls keins wo auf ein Posix konformen Cron Demon verzichtet wird. Und dazu gehört auch
"crontab" um die user eEinträge oder System crontab zu bearbeiten...
Unifi IOS User !!!!
Published: November 25, 2024
Version: 1.0
Revision: 1.0
An Improper Certificate Validation on the UniFi iOS App managing a standalone UniFi Access Point (not using UniFi Network Application) could allow a malicious actor with access to an adjacent network to take control of this UniFi Access Point.
Affected Products:
UniFi iOS App (Version 10.17.7 and earlier)
Mitigation:
UniFi iOS App (Version 10.18.0 or later)
Impact:
CVSS v3.0 Severity and Metrics:
Base Score: 7.1 High
Vector:
CVSS: CVSS:3.0/AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE: CVE-2024-45205 (Hanno Heinrichs)
Reference Links:
https://community.ui.com/releases/UniFi-iOS-10-18-0/42f02428-544c-4626-b5b3-5ae40308edc7
zur Zeit sind 87 Mitglieder (davon 3 unsichtbar) und 346 Gäste online - Rekord: 129 Benutzer ()