CVE-2010-5330

Ubiquiti AirOS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-04-15

Официальное описание

Certain Ubiquiti devices contain a command injection vulnerability via a GET request to stainfo.cgi.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник может выполнить произвольные команды на операционной системе устройства, отправив специально сформированный HTTP GET-запрос к скрипту stainfo.cgi. Для эксплуатации не требуется аутентификация. Это позволяет получить полный контроль над устройством.

Как исправить

Уязвимость устранена в обновленных версиях прошивки AirOS. Необходимо обновить прошивку на всех уязвимых устройствах Ubiquiti (например, серии AirRouter, NanoStation, PowerStation и других, работающих под AirOS).

  1. Определите текущую версию прошивки: В веб-интерфейсе устройства перейдите в раздел System (или аналогичный) и найдите информацию о версии (Firmware Version).

  2. Загрузите и установите патченную версию:

    • Перейдите на официальный портал поддержки Ubiquiti: https://www.ui.com/download/
    • Выберите свою модель устройства.
    • Скачайте и установите прошивку версии 5.6.2 или новее. Конкретная минимальная безопасная версия зависит от модели. Для большинства устройств, подверженных CVE-2010-5330, это версии AirOS 5.6.x и выше.
    • Процесс обновления обычно выполняется через веб-интерфейс в разделе System -> Upgrade (или Firmware).

    Пример команды для загрузки через CLI (если доступен): ```bash

    Это пример! URL и имя файла зависят от конкретной модели.

    Сначала скачайте правильный файл с сайта UI.

    Затем загрузите его на устройство, например, через SCP:

    scp firmware.bin admin@<ip-адрес-устройства>:/tmp/

    Далее выполните обновление через командную строку устройства:

    syswrapper.sh upgrade /tmp/firmware.bin ```

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу управления:

    • В настройках устройства (Network -> LAN или Management) настройте фильтрацию по IP-адресам (Management IP Access), разрешив доступ только с доверенных сетей администраторов.
    • Отключите доступ к веб-интерфейсу из WAN (Интернета). Убедитесь, что в разделе Firewall или Services отключена опция, разрешающая управление из внешней сети.

  2. Используйте внешний межсетевой экран (Firewall): Настройте правила на вышестоящем маршрутизаторе или фаерволе, блокирующие все входящие подключения на порты 80 (HTTP) и 443 (HTTPS) вашего устройства Ubiquiti из внешних сетей (Интернета).

  3. Рассмотрите использование WAF: Если устройство находится за обратным прокси-сервером или Web Application Firewall (WAF), настройте правило для блокировки HTTP-запросов, содержащих в URI строки stainfo.cgi с подозрительными параметрами (например, содержащими символы ;, |, &, $()).

    Пример правила для nginx (как обратный прокси): nginx location ~* stainfo\.cgi { if ($query_string ~* "[;|&`$()]") { return 403; } # ... остальная конфигурация проксирования }

Важно: Временные решения лишь снижают поверхность атаки. Полное устранение уязвимости возможно только путем обновления прошивки.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей