Ein kurzer Hinweis and alle Ubiquiti Edge Router User.

Anscheinend werden genau diese Router seit einiger Zeit gezielte Anlaufpunkte fuer Cyberattacks. Vorwiegend Angriffe aus Russland. Anscheinend in solch einem Ausmass, dass sich Sicherheitsbehoerden mehrerer Laender dazu veranlasst sahen ein Joint Cybersecurity Advisory zu veroeffentlichen mit einer ziemlich genauen Beschreibung, wie die EdgeRouter angegriffen wurden und werden.

Ein guter Zeitpunkt sich mal die jeweiligen Einstellungen anzusehen und evtl Passworte zu aendern. Auch empfehlenswert die neuesten Patches aufzuspielen und SSH, NAT und Firewall Settings zu ueberpruefen.

Hier der Link zu dem Cybersecurity Advisory

Vielen Dank für den Hinweis!
Könnte sich bitte derjenige, der den Post negativ bewertet hat erklären, warum ein Aufzeigen möglicher Schwachstellen "nicht hilfreich" ist?

Einige EdgeRouter sind auch End of Life.

Ubiquiti fällt mir immer wieder negativ auf, was Security etc angeht. Würde ich mir 2mal überlegen sowas ins Haus zu holen.

Kannst Du das bitte näher ausführen?
Was fällt Dir negativ auf? Welche Quellen kannst Du mit uns teilen?

Ein kurzer Blick in Wikipedia:

2013, 2015 und dann von immer wieder zu sprechen ist schon eine gewisse Übertreibung.
2021 war ja kein Security Thema sondern eine böswillige Aktion eines Mitarbeiters wie sich danach herrausstellte.

Für mich sind die dann genauso sicher und unsicher wie alle Anderen auch.
2015 betraff btw. Ubiquiti und Mikrotik (die ja auch immer als sehr sicher angepriesen werden)

... und du hast was Sicheres von ASUS / Netgear / TP-Link zu Hause ?

Wenn Leute die Standard-Passworte an ihren Kisten nicht ändern können / wollen, dann sind sie selbst Schuld und nicht andere.

Hallo Runde,

ich finde es total nett, gut und richtig, dass FlyingSloth darauf hinweist !! Danke Dir dafür. Auch wenn ich nicht betroffen bin.

Generell zur Diskussion:
Bei einem EdgeRouter für 51,00 netto ein Hochsicherheitssystem zu erwarten ist m.E.n. auch etwas »naiv« – persönliche Meinung. Und selbiges dann zu verallgemeinern und sich auf Daten von vor 8-10 Jahren zu stützen… In der IT –– 8-10 Jahre…

Von einem Speedport erwarte ich ja auch nicht wirklich Sicherheit im Sinne einer »ausgewachsenen Firewall« von bspw. SecurePoint etc.

Und wenn man es mal genau durchdenkt:
Warum die Systeme? Weil alt…
Vermutung: Günstigst-Systeme, die wahrscheinlich Nutzern gehören, die keine Ahnung haben und damit auch oft Sicherheitsupdates nicht einspielen… UND: Ohne Updates sind bekannte Schwachstellen vorhanden…

Ergo: Hohe Chance das System zu kompromittieren und dadurch weitere Informationen zu finden, die vielleicht nützlich sind. Vielleicht hat ein User ja alle Büro-Passworte in einem Word-Dokument?? Regierungsbehörden werden die ja wohl eher nicht einsetzen. Okay, vielleicht doch, bei Online-Konferenzen zu Marschflugkörpern, aber ansonsten wohl eher nicht…

Ist nur meine ganz persönliche und private Meinung.

Sonnigen Tag allen !! C.

Ubiquiti ist mehrfach negativ aufgefallen, in dem sie unbemerkt Telemetriedaten von ihren Anwendern abgegriffen haben. Nicht nur einmal, sondern mindestens zweimal, wenn nicht sogar mehrfach. Davon war insb. die Unifi-Serie betroffen.
=> sehr unseriös
Dazu gibt es mehrere Artikel, u.a. bei Golem. Und auch Threads im Reddit etc.
Leider ist es dann ruhig darum geworden und ähnlich wie in der Apple-Welt gibt es genügend Ubiquiti-Fanboys, die das schönreden bzw. runterspielen etc. sofern die das überhaupt mitbekommen haben. Dabei sehe ich das in Netzwerk- und "Sicherheits"-Devices als noch kritischer als sonst an.

Ubiquiti hat ewig lange gebraucht, um alten Access Points die WPA3 Verschlüsselung per Firmware-Update beizubringen.
=> schlecht (obwohl man deren Hardware mit WPA3 und OpenWrt schon längst nutzen konnte).


=>> Viele der UniFi Access Points laufen hervorragend mit OpenWrt.

Meine beiden Access Points laufen daher schon lange mit OpenWrt.

Dann gab es bei Ubiquiti selber den ein oder anderen Sicherheitsvorfall, wovon der Cloud-Kram betroffen war (=> für mich ohnehin ein NoGo). Da hatte Ubiquiti sich auch "seltsam" verhalten und nicht mit offenen Karten von Anfang an gespielt. Lies es nach. Kann sein, dass ich das nicht exakt wiedergebe. Zumindest gab es genügend negative Vorfälle, dass diese Firma bei mir einen ganz schlechten Stand hat.

Auch ja: Mein EdgeRouter läuft auch schon ewig mit OpenWrt!

Wenn die also EOL sein sollten => OpenWrt.

Man kann allgemein bei allen Herstellern erwarten, dass Devices regelmäßig gepatcht werden und vernünftig designed sind.
Man kann erwarten, dass ein Speedport das richtig und sicher macht, wofür er da ist, d.h. z.B. wenn eine Lücke entdeckt wird ein zeitnahes Sicherheitsupdate bereitsteht.
Was ist denn richtige Sicherheit? Ja eine "ausgewachsene Firewall" bringt schon ein "paar mehr" Features mit. Aber deswegen sollte ein Plaste-Router dennoch vernünftig laufen.

Und in den "ausgewachsenen Firewalls" der großen Hersteller sind ständig Sicherheitslücken - auch krasse - drin - die zum Teil ausgenutzt werden, insbesondere bei denen, die nicht zeitnah patchen.
Wenn sich das auf die EdgeRouter beziehen sollte:
Das sind trotz des günstigen Preises einiger EdgeRouter keine typischen Geräte, die sich Leute komplett ohne Ahnung hinstellen (Ausnahmen bestätigen die Regel). Das merkt man schnell warum, wenn man mal dran war. Ist schon etwas anderes als eine Fritz!Box einrichten, etc.

Hallo Runde,

JEDE Firma macht mal Fehler und JEDE Firma in diesem Bereich hat Sicherheitslücken. Das ist so. Cisco hatte massive Probleme, UniFi, die Telekom Speedports und und und. Und mal ehrlich: Gehen die alle wirklich offen und ehrlich damit um? Nein. Denn wir kennen alle Details ja nicht. Und nur weil eine Firma nicht sofort »wir klären alles 100% transparent auf« schreit ist das falsch? Nicht zwingend. Man könnte durch schweigen einfach mal auf weniger darüber verraten, damit nicht jemand auf die Idee kommt mehr Schaden anzurichten ( im Sinne Trittbrettfahrer ).

Ja, wenn man Systeme automatisiert patchen läßt ( so wie die Telekom es ja auch gerne tat und tut ), werden fehlerhafte Update einfach mal uraufgebügelt. Oder Dinge, die ich nutzen will, deaktiviert oder oder oder. Nein, ich denke, dass es sinnvoller ist, mich auf Updates mit den Änderungen, die gemacht werden sollen, hinzuweisen und ich entscheide was wann wie wo. Zumindest im Business-Bereich.

Ich halte von schnell schnell patchen allerdings gar nichts. Bringt Dir meist mehr Fehler, als behoben werden. Wie sagte Prof.Schmitt schon während meines Studiums: »Wenn Sie einen Fehler finden und den beheben, bauen Sie mit der Behebung mindestens zwei neue Fehler ein!« YEP !!
Daher lieber mal nachdenken und sinnvoll lösen. Letztlich ist m.E.n. dieser macOS-Jahreszyklus ebensolcher Müll. Lieber mal ein Jahr aussetzen und nur in Fehlerbehebung/ Optimierung/ Stabilität usw. stecken. Wäre sicherlich mal lohnenswert !!

Also. Nein, niemand muss UniFi gut finden, ich tue es und alle Kunden, die es einsetzen, ebenso.
Und kritisch betrachten sollten man alles, was nicht Sicherheit zu tun hat – ganz allgemein!

So Kinnings, ich muss ins Bett, bevor mein Kopf ungebremst auf der Tastatur aufschlägt…

Happy Evening, C.

Ja, dann lass riskante Lücken mit einem hohen CVSS offen stehen. Mir sind mehrere Fälle bekannt, die genau durch diese Vorgehensweise riesige Probleme bekommen haben. Eine davon ist die Südwestfalen-IT. Der Incident Response Bericht war öffentlich einsehbar und es war ein bisschen anders, als in der Presse dargestellt (in der Presse wird es häufig anders dargestellt). Die haben nämlich genau das gemacht, was du vorschlägst und wochenlang nicht gepatcht und dann war es leichtes Spiel für die Angreifer und es hat geknallt.

Wenn es gute Patches gibt: Rauf damit, as soon as possible !! Da bin ich bei Dir.
Obgleich man manchmal eben auch dort erst schauen muss, ob nicht sekundär etwas betroffen ist ( Windows Server gepatcht – wie doof, dass Software XY nun komplett nicht mehr läuft… ). Und wenn die Südwestphalen-IT die richtigen IT-Arbeitsplätze/IT-strukturen hat, sollte sie ggf. mehrere IT'ler haben, die sich nur und ausschliesslich um Patch-Management kümmern. Jedes halbwegs größere Unternehmen sollte das haben.

Ich meinte die Unternehmen selbst ( Microsoft oder wer auch immer ): Bevor wischiwaschi / zack zack etwas zurecht geschustert wird und das ungahr rausgehauen wird – bitte einmal vorher nachdenken.

Sich heute zu überlegen, ob man aus Sicherheitsgründen Windows 8 vielleicht mal auf 9 updaten sollte? »Ach die Kosten. 9 gibt es gar nicht und wir sind schon seit Jahren bei 11?? Das wird ja noch teurer…« – ich liebe solche Kunden…

Insofern haben zumindest in Teilen aneinander vorbeigeredet. Nehme ich an.

Greetings, C.