Tag: Ubiquiti

Wielokrotnie podkreślaliśmy rolę pentestów w procesie utrzymania bezpieczeństwa organizacji. Wagę pentestów zdają się potwierdzać także doświadczenia badaczy z zespołu Catchify. TLDR: – Krytyczna podatność (10.0 w skali CVSS) w aplikacji UniFi Access odpowiadającej z kontrolę nad urządzeniami dostępu fizycznego. – Możliwe jest pełne przejęcie urządzeń z podatnym oprogramowaniem i kradzież…

Zobaczcie na to zgłoszenie: Niedawno zalogowałem się na https://unifi.ui.com/consoles, aby uzyskać dostęp do moich konsol, tak jak to robię każdego dnia. Jednak tym razem otrzymałem 88 konsol z innego konta. Miałem pełny dostęp do tych konsol, w taki sam sposób jak do swoich własnych, Zostało to zatrzymane dopiero, gdy wymusiłem…

Informacji nie mamy zbyt wiele, choć dookoła tematu widać spore poruszenie. Stąd też publikujemy informację, którą rozsyła Ubiquiti do swoich klientów. W skrócie – “zlokalizowaliśmy pewne naruszenie bezpieczeństwa, choć nie mamy pewności że dotknęło ono dane naszych użytkowników. Dla pewności jednak prosimy o zmianę hasła oraz idealnie skonfigurowanie 2FA (dotyczy…

Instalujesz pod Windows oprogramowanie do obsługi video. Wszystko fajnie, tylko nieświadomie odpalałeś usługę działającą na localhost (port 7440), która z pośrednictwem mechanizmu WebSocketów wystawiała nieuwierzytelnione, pracujące z uprawnieniami SYSTEM API. API z kolei udostępniało ciekawy ficzer – umożliwiający uruchomienie dowolnej binarki. Całą akcję można zobaczyć na filmiku tutaj. Ubiquiti załatało podatność w wersji v3.10.7…

Opublikowana została informacja o możliwości obejścia uwierzytelniania w Ubiquiti airMAX oraz Ubiquiti airOS, w przypadku, gdy wykorzystywany był interfejs airControl web-UI. Podatność wynika po części z ryzyka i trudności jakie wynikają z prób odwoływania się z poziomu aplikacji WWW do programów i skryptów powłoki systemowej. Niemałe znaczenie miało również wykorzystanie…