Массовые brute-force атаки на почтовый сервер с устройств на AirOS?
Здравствуйте, коллеги.
В течение последней недели наш почтовый сервер подвергается постоянным brute-force атакам с попытками подбора паролей к почтовым ящикам. Что особенно интересно — все атаки исходят с устройств, работающих на AirOS (прошивка для оборудования Ubiquiti, чаще всего точек доступа NanoStation, Rocket и т.п.).
Примеры IP-адресов, с которых зафиксированы атаки:41.76.80.113, 109.207.41.186, 190.105.186.120, 186.209.243.118, 185.15.169.30, 27.54.162.131, 198.179.59.170, 41.79.19.62, 190.122.128.237, 69.88.232.68, 196.0.111.214. Это лишь небольшая часть — за неделю было зафиксировано не менее 50 подобных IP-адресов, и общее количество растёт ежедневно.
Что мы заметили:
Все источники атак — устройства на AirOS, определено по HTTP-заголовкам и характерным открытым портам.
Сами устройства часто находятся в разных странах (Африка, Латинская Америка, Европа).
Попытки авторизации идут по протоколам SMTP (AUTH LOGIN) и иногда по IMAP, с подбором логинов.
Большинство IP-адресов принадлежат провайдерам беспроводного доступа или локальным операторам.
Предположение
Есть вероятность, что эти устройства были скомпрометированы массово через уязвимость в AirOS, возможно, уязвимые по Telnet/SSH/HTTP. После взлома на устройства, судя по всему, был установлен бот, выполняющий автоматические brute-force атаки на почтовые сервера.
Зачем пишу
Хочу понять — сталкивался ли кто-то ещё с подобными атаками?
Видели ли вы активность со схожих IP-адресов или AirOS-устройств?
Есть ли информация об уязвимости, через которую могла произойти массовая компрометация?
Простой
Средний
