Selon Censys (blog Censys), des chercheurs ont découvert plus de 330 appareils Ubiquiti affichant des bannières de défacement, révélant des compromissions en cours dont certaines remontent à des campagnes de 2016. Les appareils affectés sont majoritairement hébergés sur des FAI grand public aux États‑Unis et en Europe de l’Est, malgré une baisse de 75 % du nombre d’hôtes touchés depuis 2022.
Les vecteurs mis en évidence par les bannières incluent notamment des identifiants par défaut (ubnt:ubnt), la réutilisation et la faiblesse de mots de passe, ainsi que des infections par malware dont le ver MF (CVE-2015-9266). Ces éléments pointent vers des compromissions opportunistes et des mauvaises pratiques d’hygiène de mots de passe. 🚨
Sur le plan technique, les services compromis exposent principalement le Ubiquiti Device Discovery Protocol (UDP/10001). La persistance d’instances uniquement UDP suggère que de nombreux appareils ont été compromis avant l’ajout du support TCP en 2018. Les métriques d’uptime observées — moyenne 193 jours, médiane 285 jours — indiquent des infections de longue durée, tandis que le churn DHCP peut masquer l’ampleur réelle des compromissions persistantes. 🔍🛜
IOCs et TTPs:
- IOCs:
- Services exposant Ubiquiti Device Discovery Protocol sur UDP/10001.
- Bannières de défacement mentionnant vecteurs de compromission.
- Référence au ver MF (CVE-2015-9266).
- TTPs:
- Exploitation d’identifiants par défaut (ubnt:ubnt).
- Réutilisation et faiblesse de mots de passe.
- Infection par malware / ver MF.
- Persistance via services UDP historiques (antérieurs à 2018).
Il s’agit d’une publication de recherche visant à documenter des compromissions de longue durée d’équipements Ubiquiti, leurs vecteurs et leur persistance dans l’écosystème Internet. 🧾
🔗 Source originale : https://censys.com/blog/internet-archaeology-a-decade-of-defaced-routers