#  > Geral >  > Segurança >  >  Alerta de vírus ubnt 6.0.3 e descaso da ubnt

## netuai

Acompanhei a certos dias no forum da UBNT um pessoal reclamando que depois de atualizar para a versão 6.0.3, alguns campos das antenas simplesmente não aparecia mais, e a mesma não aceita down-grade pelo navegador. Pois bem, comigo não foi diferente, o problema maior é que estes clientes que estavam com as antenas nesta condição começaram a se queixar de lentidão, ping alto, e ate mesmo da conexão ficar caindo e voltando a cada 5 ou 10 minutos.
 No último dia 25/04 foi a gota d'água, diversos clientes desconectando e reconectando novamente em meu pppoe, e pra minha surpresa cerca de 80% de minha rede estava infectada com vírus UBNT, e advinha? todos os infectados estavam com a maldita versão 6.0.3.
 Desde então estou com todos os funcionários inclusive os que estavam de férias chamei pra ajudar, para visitar casa por casa e fazer tftp nas antenas voltando para a versão 6.0.1, pois não da pra acessar as antenas mais, nem o campo de senha aparece, por telnet senha alguma funciona.
 Estou triste e indiguinado com o descaso da UBNT, depois de tanta lambança quem vai arcar com meus prejuízos? tenho um total de 900 assinantes, deste total tive problema com mais de 500, e no próximo mês terei que dar desconto de 3 dias sem acesso a eles, a ubnt esta cagando pra gente.

----------


## Bruno

> Acompanhei a certos dias no forum da UBNT um pessoal reclamando que depois de atualizar para a versão 6.0.3, alguns campos das antenas simplesmente não aparecia mais, e a mesma não aceita down-grade pelo navegador. Pois bem, comigo não foi diferente, o problema maior é que estes clientes que estavam com as antenas nesta condição começaram a se queixar de lentidão, ping alto, e ate mesmo da conexão ficar caindo e voltando a cada 5 ou 10 minutos.
>  No último dia 25/04 foi a gota d'água, diversos clientes desconectando e reconectando novamente em meu pppoe, e pra minha surpresa cerca de 80% de minha rede estava infectada com vírus UBNT, e advinha? todos os infectados estavam com a maldita versão 6.0.3.
>  Desde então estou com todos os funcionários inclusive os que estavam de férias chamei pra ajudar, para visitar casa por casa e fazer tftp nas antenas voltando para a versão 6.0.1, pois não da pra acessar as antenas mais, nem o campo de senha aparece, por telnet senha alguma funciona.
>  Estou triste e indiguinado com o descaso da UBNT, depois de tanta lambança quem vai arcar com meus prejuízos? tenho um total de 900 assinantes, deste total tive problema com mais de 500, e no próximo mês terei que dar desconto de 3 dias sem acesso a eles, a ubnt esta cagando pra gente.


passando por isto

----------


## muttley

Eu nunca passei por isso! Mas a minha rede é 2.4 e só meus ponto a ponto em 5.8! 
É claro que em algum dia vou ter que trocar tudo pra 5.8, mas eu nao mexo em time que esta ganhando! Eu tenho alguns nanos 5.8 com a versao 5, e outros com a versão 4. hehehehe
Pra que mexe??? Se esta funcionando bem!!!

----------


## chocobama

> Eu nunca passei por isso! Mas a minha rede é 2.4 e só meus ponto a ponto em 5.8! 
> É claro que em algum dia vou ter que trocar tudo pra 5.8, mas eu nao mexo em time que esta ganhando! Eu tenho alguns nanos 5.8 com a versao 5, e outros com a versão 4. hehehehe
> Pra que mexe??? Se esta funcionando bem!!!


Você tem ASN e entrega IP público? 

Galera não tem como tratar isto na borda ou mesmo um firewall dedicado próximo dos nossos clientes? Quando o assunto é firewall conheço apenas o trivial para tocar os assuntos do cotidiano. Mas como todo bom curioso, as vezes eu pego um bloco e começo a disparar ICMP para alguns ranges de endereço. Baseado nas respostas eu vou até o navegador e verifico que ao digitar o endereço caio direto na tela de login do rádio ou de uma routerboard (no caso da routerboard eu não tenho acesso, mas ao menos consigo ver as estatísticas das interfaces. Provedores com ASN, PTT, IPv6, 1GB de tráfego... E qualquer um consegue acessar de fora?). Ou seja, faca e queijo na mão de um Bot espacializado em atacar ubnt.
Aqui eu ainda uso NAT, então nunca passei por esta dor de cabeça.

----------


## JonasMT

> Acompanhei a certos dias no forum da UBNT um pessoal reclamando que depois de atualizar para a versão 6.0.3, alguns campos das antenas simplesmente não aparecia mais, e a mesma não aceita down-grade pelo navegador. Pois bem, comigo não foi diferente, o problema maior é que estes clientes que estavam com as antenas nesta condição começaram a se queixar de lentidão, ping alto, e ate mesmo da conexão ficar caindo e voltando a cada 5 ou 10 minutos.
>  No último dia 25/04 foi a gota d'água, diversos clientes desconectando e reconectando novamente em meu pppoe, e pra minha surpresa cerca de 80% de minha rede estava infectada com vírus UBNT, e advinha? todos os infectados estavam com a maldita versão 6.0.3.
>  Desde então estou com todos os funcionários inclusive os que estavam de férias chamei pra ajudar, para visitar casa por casa e fazer tftp nas antenas voltando para a versão 6.0.1, pois não da pra acessar as antenas mais, nem o campo de senha aparece, por telnet senha alguma funciona.
>  Estou triste e indiguinado com o descaso da UBNT, depois de tanta lambança quem vai arcar com meus prejuízos? tenho um total de 900 assinantes, deste total tive problema com mais de 500, e no próximo mês terei que dar desconto de 3 dias sem acesso a eles, a ubnt esta cagando pra gente.


Calma meu amigo, lovo vem um fanboy falar que vc nao fez o dever de casa e o mesmo mimimi de sempre.

----------


## netuai

> Calma meu amigo, lovo vem um fanboy falar que vc nao fez o dever de casa e o mesmo mimimi de sempre.


Verdade, mas a realidade eu tinha bloqueio de portas, so nao tinha roteamento, era tudo em bridge. agora estou organizando.

----------


## netuai

> passando por isto


voce esta na mesma situação?

----------


## netuai

> Você tem ASN e entrega IP público? 
> 
> Galera não tem como tratar isto na borda ou mesmo um firewall dedicado próximo dos nossos clientes? Quando o assunto é firewall conheço apenas o trivial para tocar os assuntos do cotidiano. Mas como todo bom curioso, as vezes eu pego um bloco e começo a disparar ICMP para alguns ranges de endereço. Baseado nas respostas eu vou até o navegador e verifico que ao digitar o endereço caio direto na tela de login do rádio ou de uma routerboard (no caso da routerboard eu não tenho acesso, mas ao menos consigo ver as estatísticas das interfaces. Provedores com ASN, PTT, IPv6, 1GB de tráfego... E qualquer um consegue acessar de fora?). Ou seja, faca e queijo na mão de um Bot espacializado em atacar ubnt.
> Aqui eu ainda uso NAT, então nunca passei por esta dor de cabeça.


Sim uso ip real nos clientes, mas um conhecido aqui que usa apenas nat teve serios problemas tambem

----------


## Nks

o problema eh que se vc tiver alguma antena com firmware antigo, se ela for infectada, ela vai infectar as antenas do firmware novo!!!

a ubiquiti realmente ta vacilando, falar que eh problema do provedor, nao ter um firewall..... pera ai,,,, uma coisa eh vc ter firewall para servidores linux, hospedagem.... etc
agora para a antena!!!! eh dose!!

quem tem ip invalido nao sofre disso, eh apenas o pessoal que fornece ip publico, o problema eh que se vc tem apenas 1 antena com ip publico, se ela for infectada, ela se espalha para as outras que nao tem ip publico!!

pra quem ainda nao foi infectado, fique esperto e se previna!!
instala o aircontrol2, veja qual cliente esta com firmware antigo e atualize,, urgente!!!
principalmente se ele tiver ip publico!
vc pode tbm alterar a porta das antenas, tirar de 80 que eh a padrao navegacao, e tbm altere a porta do ssh
vc pode deixar a antena em bridge

----------


## Nielsen

ubiquiti e lula nunca mais

----------


## SantiagoMG

Mas existe alguma versão que seja segura? 

Quando atualizam,mudam para qual versão?

----------


## FMANDU

Pessoal eu sei que é difícil mudar, mas já chega de sofrer com ubnt né! Todos já sabem que de 6 em 6 Meses surge uma mera no firmware, fora os problemas já conhecidos.

----------


## Nks

esse firmware novo esta ok segundo eles!!!
o lance eh: tem que ter senha individual para cada antena, para cada cliente

nao pode usar senha igual, pq se usar igual, e tiver alguma antena infectada na rede, ela vai infectar mesmo as antenas com o firmware novo!

pra quem foi infectado a solucao eh:
uma a uma, vai da um baita trabalho, vai ate o cliente e remove o virus, atualiza para a versao 6, reseta e configurar novamente, COLOCA SENHA INDIVIDUAL!!!! da trabalho mais tem solucao!

pra remover o virus:
https://forum-pt.ubnt.com/discussion...ua-rede-airmax

vcs podem saber mais sobre:
https://forum-pt.ubnt.com/discussion...a-versao-6-0-3

----------


## muttley

Eu ainda estou com minha rede em 2.4, e só meus ponto a ponto em 5.8!!! 
Mas ja estou trocando meus ponto a ponto por sxt mikrotik. E tbm pretendo colocar
nos clientes tbm, sxt! Sendo que o preço de uma sxt nova é mais barato que um nanoloco!
E muuuuuito mais qualidade!!! hehehehe

----------


## Nks

> Eu ainda estou com minha rede em 2.4, e só meus ponto a ponto em 5.8!!! 
> Mas ja estou trocando meus ponto a ponto por sxt mikrotik. E tbm pretendo colocar
> nos clientes tbm, sxt! Sendo que o preço de uma sxt nova é mais barato que um nanoloco!
> E muuuuuito mais qualidade!!! hehehehe


cara se vc vai mudar pra 5.8 usa intelbras linha APC com TDMA o iPoll
agora a APC nova parece que eh iPoll3 que eh o mais recente da ligowave!

a wom tbm eh 2x2 MIMO tem preco bom e o mais importante: garantia!!!
eu tenho um pouco de iPoll aqui esta tudo ok!!! recomendo!

nao eh propaganda, nem nada, nem ganho nada com isso, mais acho legal a intelbras esta oferecendo o TDMA da ligowave por um preco justo! o minimo que eu possa fazer alem de usar eh recomendar!!!

----------


## paulosebin

Minha nossa, não estava sabendo nada a respeito. Vou até visitar o fórum ABNT.

----------


## muttley

> cara se vc vai mudar pra 5.8 usa intelbras linha APC com TDMA o iPoll
> agora a APC nova parece que eh iPoll3 que eh o mais recente da ligowave!
> 
> a wom tbm eh 2x2 MIMO tem preco bom e o mais importante: garantia!!!
> eu tenho um pouco de iPoll aqui esta tudo ok!!! recomendo!
> 
> nao eh propaganda, nem nada, nem ganho nada com isso, mais acho legal a intelbras esta oferecendo o TDMA da ligowave por um preco justo! o minimo que eu possa fazer alem de usar eh recomendar!!!


Eu nao tive sorte com wom5000. hehehehe...Nem em ponto a ponto de 500 metros! 
E como o pessoal ja esta sofrendo com esse virus nos ubiquiti, eu pretendo usar sxt mesmo! É claro que nada me impede de testar outras coisas!  :Smile:

----------


## cassiodsn

Nenhum problema com ubiquiti por aqui, a segurança é problema do provedor! Eu mesmo adotei políticas de segurança imediatamente depois que teve aquele último malware! PREVINA-SE

----------


## Nks

cassio nao eh somente uma questao de seguranca! veja bem

se todos os seus clientes forem ip invalidos, vc nao vai sofrer disso tendo algum tipo de seguranca ou nao!!

ai vc me fala, ah eu tenho ip valido, blz se nesses que vc tem ip valido tiver com senha alterada, que nao seja ubnt, tbm nao foi infectado!! 

ai vc me diz, eu tenho ip valido com cliente com senha padrao ubnt, blz teve algumas pessoas que nao teve problema teve sorte de nao ter sido scaneado pelo alvo, e ninguem chegou acessar a antena do seu cliente e infecado ela! 
e ai vc ao saber da noticia, provavelmente alterou as senhas de quem tem ip publico e acabou o problema! independente do firewall tendo ou nao!!!

ninguem aqui vai investir pesado em firewall cisco por causa de roteador de antena!! 
operadora grande nao faz isso, nao tem firewall pra modem roteado!!

se vc na hora que instalar o seu cliente trocar a porta 80 e 443 para outras e trocar a porta ssh, tbm morreu ninguem infecta!! sem ter firewall

a ubnt falhou no seu sistema AirOS la no 1 worm e isso foi o estopim!!!

----------


## FMANDU

Sempre tem um pra colocar culpa no firewall.

----------


## jodrix

Cada cabeça é uma sentença, na boa, não vou ficar remendando furo da ubnt, daqui a pouco vamos ter que colocar um puta firewall de alguns MILHARES de Reais para resolver um problema que é do fabricante que diga por passagem ta cagando pros seus clientes, (Eu nunca vi um mikrotik ser invadido) eu ja nao compro essas [email protected]#$% a mais de 3 anos so SXT que ja ta deixando a desejar tb, muita queima de porta LAN.

A solucao ja foi dada aqui, nao precisa de firewall, 

- Muda a Porta 80 e 433
- Desabilite qualquer outra porta padrao( ssh, telnet, ...)
- *Uma senha por cliente* 
- Rede Roteada (bridge nem pensar)
- Nao compre mais UBNT

Pronto Problema resolvido.

----------


## JonasMT

Jodrix to com b.o nas 912 tenho perdido muitas e nenhuma rocket m5. Ubnt nao compro mais radio m5 a quase 2 anos

----------


## cassiodsn

Lógico que é uma questão de segurança meu caro, você mesmo respondeu isso, eu uso Pfsense e ainda tenho inúmeras regras de firewall no meu BGP depois de não prestar a atenção devida a políticas de segurança, e não precisou de dinheiro para resolver isso, para se ter uma ideia eu retirei até ping externo da minha rede! Outra coisa, existe chave pública criptografada para acessar certos servidores na minha rede, e sim, eu distribuo IP público para meus clientes.

Se você prestar atenção no aviso da ubiquiti eles anteciparam sobre um novo malware que pode invadir os equipamentos SE ESTES ESTIVEREM COM SENHAS, PORTAS E ETCS DE FORMA PADRÃO, logo isso é problema seu e não da ubiquiti, entende o que eu quero dizer?

Eu como Analista de Segurança falo por experiência própria, é sempre a mesma desculpa de usuário e o problema maior é convencer ele que é necessário adotar políticas de segurança!

Até mais!

----------


## cassiodsn

> Quem precisar de consultoria estou a disposição... Daí vão usar ubnt sem problemas, além disso, vão ter a rede de vocês nas mãos, vocês vão determinar quem entra e quem sai na rede de vocês. Isso se chama Administração de Redes e Segurança em dados o qual tenho orgulho de ser formado, por isso falo com propriedades sobre o assunto.


Um amigo da área! Entende o que falo! kkkkk
Muito sensato suas colocações, faço minha suas palavras, TRAGAM pra mim seus ubiquitis kkkkk

Abraço rpassistencia

----------


## Bruno

> O Problema é firewall kkkkk


não é problema de firewall não é falta de segurança da ubnt em deixar vulnerabilidade

isto pq todos meus ubnt tem o ssh desativado e filtro na porta web
ai o os caras fazem um malware pra infectar do cliente para o radio 
me explique como se proteger disto ????

----------


## Bruno

> O Problema é firewall SIM, eu provo... Mato a cobra e mostro o pau, quer pagar pra ver?
> Independente de ser IP Público ou NAT, o Problema é firewall.
> É que nós brasileiros estamos acostumados de só copiar e colar e nunca estudarmos, e colocamos a culpa nos fabricantes. Não adianta mudar as portas no equipamento final, não adianta colocar uma senha das galáxias. Faça um simples teste
> Seus clientes usam IP Público... Vcs conseguem acessar as antenas deles só colocando o IP no Browser de qualquer lugar?
> Se a resposta for sim, suas redes estão de pernas abertas, isso já é o bastante, vale para o NAT também.


não é só firewall não 
não adianta vc ter firewall na borda sendo que o ataque pode vim do cliente e ai como vc vai fazer ???? o cliente ta com um worm la virou zunbinet e esta atacando de dentro da sua rede ????

----------


## Bruno

> Não existe falhas na ubnt, apenas existe um script previamente elaborado para danificar os produtos dá ubnt, a razão ser ser ubnt é porque é o mais vendido no mundo todo, assim o ataque atingiria milhões, igual o Windows...


existe sim se ela deixa executar este script ela tem falha

----------


## Bruno

> Teve até moderador em outro post tratando desse assunto que tirou minha reputação porque eu fui insisivo em afirmar que é firewall kkkkk e ninguém aceitava, nesse post já tem gente dizendo que firewall kkkkk algo aconteceu... Ou o pessoal acordou pra vida ou minhas regras vazaram kkkkk pois disponibilizei elas para ajudar as pessoas que acreditaram em mim... está sendo interessante ver isso novamente.



é que vc não entende certas coisas o problema de virus ou qualquer outro é falha de segurança e pra evitar isto vc ameniza com firewall 

vc não pode defender um fabricante que deixa falha de segurança 

tenta injetar algum código em cisco, juniper, OS x unix freebsd

tu não vai conseguir a não ser que vc libere isto se chama firewall 
ex: invada qualquer deste servidor por ssh
não precisa de firewall não deixe a porta 22 open tu nunca vai conseguir 
a não ser que a senha seja 123456

agora a ubnt deixou o motherfuck fazer estrago na porta 22 

ninguem aki é loko em falar que firewall não se usa, se deve usar
existe diferença en ataque e invasão ataque vc bloqueia com firewall já invasão infestação é pq alguém deixou de fazer algo o primeiro foi o fabricante neste caso ubnt deixar falha na segurança depois o dono do provedor que poderia ter amenizado com firewall

amenizado pq a falha pode abrir uma porta que vc desconheça tipo ele rodar um telnet na porta 25955 vc nunca vai bloquear esta porta no seu firewall e vai passar entendeu ????

----------


## Bruno

e outra nesta versão 6.0.3 eu não vi virus não foi é bug mesmo kkkkk

----------


## Bruno

ta bom falou o especialista kkkk por formação tb sou tenho DR na área

----------


## Bruno

> Inteligência, a internet do seu cliente vem dá onde? Deixa eu adivinhar... Vem dá sua​ borda certo?, do seu Mikrotik de pernas abertas....


o cidadão deixa de ser arrogante a internet vem da borda se o cliente pega o virus o ataque sai do cliente e vai para a antena sem passar pelo core

----------


## Bruno

vc é o cara em engenharia reversa kkkkkkk
vc aplica firewall na estação do cliente tb ???
pra ele não receber requisição do cliente nas portas determinadas ????

----------


## Bruno

brincadeiras a partes esta é sua opinião sua teoria sua tese eu tenho que respeitar, porém respeita a minha 
sobre sua é formação especialista em segurança né , então largue mão de provedor e va ganha dinheiro home especialista em segurança ganha na faixa de 30k/mês isto no brasil 
ou venha pros USA pege um green card e ganhei seus 300k Dollar/age

----------


## Bruno

> Eu não entendo????
> Como assim????
> Quem é que está com vírus??? Eu ou vocês????
> Me respeita cara... Coitado de vc é de seus clientes que caíram na mão de um AMADOR que é Você...
> BICHO TEIMOSO


kkkk
vc é comedia eu me divirto com vc 
eu não to com virus não fio 

até comentei que a versão 6.0.3 tem uns bugs não é virus não 
coitado dos meus 27 mil cliente mesmo cair na mão de um amador como eu kkk

----------


## Bruno

Alias tu conseguiu comprar aqueles 1km de fibra que tu queria comprar comigo em 5 vezes ???

----------


## Bruno

e seu pasolink consegiu configurar ????

e seu dns reverso que eu revisei pra vc ficou bom ???

cara eu tive que ajudar a vc a delegar seus ips no registro.br e tu vem me chamar de AMADOR vc é muito comedia

não gospe no prato que vc comeu não 

caso vc fale que é mentira posto os prints é só o senhor me autorizar

----------


## Bruno

o Sobre estudar estou pensando porem PHD só nos USA pois doutorado já tenho

----------


## Bruno

> Cara.... comprar fibra.. configurar ipasolink etc.. não sou obrigado a saber de tudo... porem o que estudei, e o que sou formado sou obrigado a saber... entende???? nada haver uma coisa com a outra... uma coisa e eu saber de segurança, e outra é u não saber de rádio... sacou??? se vc não tem virus, porque age como se estivesse? tenha certeza de uma coisa... todos esses problemas é de firewall, se fui áspero com vc é porque vc ainda não procurou ver isso com outros olhos, olhar para dentro da rede e entender que tudo que passar pelo seu firewall vai pra sua rede... então o problema esta no firewall... admito aqui pra quem quiser que vc @*Bruno* meu ajudou muito, em muitas questões entre fibra etc... porem eu não sei de tudo, e nunca vou saber, mas o que estudei eu sei... porque eu estudei... então como em todas as suas dicas que me passou eu adotei e respeitei, pois eu percebi que naqueles assuntos vc tem mais experiencia e sabe muito, então no meu assunto de segurança em redes tente fazer o mesmo, pois profissionais tem que ser respeitados em suas respectivas áreas, desde já eu agradeço a vc @*Bruno* por todas as ajudas que me fez, referente a radio fibra etc, eu respeito pois tenho certeza que sobre isso vc sabe muito, mas muito mesmo, agora sobre segurança de redes que outra coisa totalmente diferente, tente me acolher como eu te acolhi com respeito e muita relevância sobre o que falo e escrevo, pois é minha area, para vc ter noção o quanto isso é extenso, eu me formei em redes e não sei, digo mais uma vez, eu não SEI muito sobre mikrotik, vim conhecer mikrotik depois de ter um provedor, mas nele tenho facilidades de aplicar meu conhecimento em redes...
> valeu e abraço, se estiver mesmo com problemas estou a disposição.


só me referi sobre isto quando vc fala que tinha dó de meus clientes cair na mão de um amador como eu . Po ai tu pegou pesado eu sendo amador na questão de provedor e tu vem pedir ajuda pra amador entendeu meu ponto de vista 
outra coisa segurança de rede eu tenho tb e entendo bem, o que vc não entendeu ou não quis entender é que tudo que falei são coisas distintas reflita no que eu falei e vou falar novamente 

em um ambiente vc tem 1 servidor unix, linux OS X
em outro ambiente vc tem 1 ubnt com a versão 5.5.9
ambos ambientes vc não tem firewall na borda ou seja qualquer um tem o Three-way Handshake liberado 

qual vai ser infectado por virus/worm o ubnt pois ele tem uma falha de segurança que permite que seja o worm se loge com privilegios de root e crie uns script maluco 

como se previne isto com firewall 
firewall serve tando para fazer politica de acesso como proteger os soft vulnerabilidade expostas por falha de segurança

se o soft em questão não é seguro vc tem que usar firewall mesmo agora sé não é vc não precisa imagina um servidor http ex apache vai alguém e descobre uma falha de segurança o que vamos fazer bloquear o acesso a porta 80 ???? o culpado vai ser nos de não ter firewall ????

creio que vc não entendeu meu ponto de vista 

são 2 fatores 
1 é a ubnt tem a falha no código dela não sou eu que estou afirmando foi a própria ubnt
em um dos seus changelogs
https://dl.ubnt.com/firmwares/XW-fw/.../changelog.txt
Version 6.0.3 (XM/XW/TI) - Service Release (March 29, 2017)
-------------------------------------------------------

Fixes:
- Fix: Can't change Output Power, Frequency and Frequency List without device reboot

Version 6.0.2 (XM/XW/TI) - Service Release (March 28, 2017)
-------------------------------------------------------

New:
- New: OpenSSL update to v1.0.2k
- New: libevent update to v2.1.8
- New: libssh2 update to v1.8.0

Fixes:
- Fix: Security fixes and improvements
- Fix: Data rate module is not changed until device reboot
- Fix: In rare cases configuration is not saved
- Fix: Update x509 v3 to support new extensions used for WPA2 enterprise


Version 6.0.1 (XM/XW/TI) - Service Release (March 17, 2017)
-------------------------------------------------------

New:
- New: Update tcpdump to v4.9.0


Regulatory updates:
- Revised UNII Rules activation for IC/Canada ( â€‹https://www.ubnt.com/iccoderequest/ )
- Updated New Zealand allowed frequencies for 5GHz
- Removed DFS enable/disable option for Australia


airOS security improvements:
- Command injection in Ping test tool
- OpenSSL update to to v1.0.2j
- Remove unused WMM related code
- Other security fixes and improvements


note que foram 2 fix de segurança um através do comando ping o qual não era necessário senha para executar comando com privilégios de root o outro ela não falou sobre o que era 

2 ponto é que isto pode ser amenizado com firewall, amenizado pq não tem como prevenir 100% ex:
eles vão e deixa um socket aberto em uma porta aleatória nós não sabemos desta porta então não vamos bloquear ela ninguém vai la em filter e fazer um action Drop quando o destino for pra sua rede na porta tal mais esta porta tal nós não sabemos desta falha de segurança então não tem firewall que proteja disto entendeu o que eu quis expor ????

----------


## Bruno

> Cara... dizer que é AMADOR e dizer que NÃO é PROFISSIONAL em uma determinada área, li tudo que vc escreveu, suas colocações... me passa um team ou skype que te mostro na sua borda como se proteger... apenas isso.. simples assim... como te falei tenho anos de experiencia em segurança, eu vivi minha vida toda nisso, ISP é novo pra mim, deixando vc um pouco mais facil de entender... eu sou AMADOR em MIKROTIK em RADIO e outras questões que envolve ISP, mas estou estudando e aprendendo, agora sobre SEGURANÇA em REDES tenho conhecimento profundo e experiencia....
> 
> meu skype é rpassistencia


cara não adianta vc não quer entender minhas colocações 
vamos la novamente abra a mente 

vc tem 2 aplicações WEB em um site vc quer que todos acessem seu site porem
um de seus site tem uma falha de segurança que deixa qualquer um mudar qualquer coisa no seu site, este problema não é do seu firewall e sim da falha de segurança mesmo caso dos ubnt por uma falha de segurança não posso acessar nada dos meus radios e clientes fora da minha rede pq tenho o firewall então tenho que fazer uma vpn pra acessar pois o firewall só permite aquele ip acessar as portas 22 e 80

sobre o amador pelo que vc explicou vc é o amador em ISP não eu, pois quando vc se referiu estava falando dos meus clientes eu sendo isp nisto eu tenho experiência a mais de 18 anos então o amador é vc não eu 

eu tenho vc no skype alias tu sabe mexer em cisco pois não tenho mikrotik em minha borda ou core é tudo cisco quer acessar pra ver 168.0.4.1 o ip dele me desbloqueie do skype que te passo a senha 
acessa la e veja vc que é especialista pois só trabalhei 3 anos no secure 2 do itau não sei muito de segurança se vc for cliente do itau e usar o aplicativo do itau eu fui um dos programador de segurança reversa dele 
eu sei o que estou falando e concordo com vc tem que ter firewall se vc usar uma aplicação ou software que tenha falha de segurança

uma demonstração mais simples

mikrotik e ubnt 
quais recentemente deve falha de segurança no ssh e permitiu acesso com privilégio root ???

foi a ubnt 
qual provedor foi atingido por esta falha ??? aquele que não tem firewall isto concordo com vc mais a culpa não é so do provedor e sim da ubnt por colocar no mercado um produto com bug

----------


## Bruno

sobre te respeitar eu sempre respeitei só não concordo isto é normal e totalmente diferente de não respeitar
o que estou afirmando é que a ubnt tem culpa tb em ter no mercado um produto com falha de segurança e o provedor tb é culpado por não ter firewall na borda e core 

o que não concordo é falar que a ubnt não tem culpa por ter um soft com falha de segurança 

vc tem conta no banco e por falta de segurança do banco alguém invade e transfere da sua conta todo seu dinheiro de quem é a culpa sua por não ter firewall ou o banco pela falta de segurança 
tu vai defender o banco ??? e falar pra ele que não precisa devolver eu dinheiro ???

um ladrão rouba entra na sua casa com vc dentro te rouba e te arrebenta na pancada a culpa é sua por não ter firewall ou do governo de não oferecer segurança a qual vc paga com os impostos ???

----------


## Bruno

> assim... vou colocar um anexo, porque vc esta misturando tudo...
> Anexo 66764


vc que ta misturando as coisas 
ataque é uma coisa se defende com firewall 
explorar falha de segurança pode se defender no firewall desde que vc saiba a onde esta a falha

----------


## Bruno

vc tem certeza de quem trata o endereçamento de ip é o firewall ????

----------


## Bruno

> não sei ao certo seu o Cisco faz essa manobra uma vez ele sendo sua borda, pois suas regras já estão pré definidas para proteger ele mesmo... não sei se exite nele uma forma de criar regras para proteger o que vem depois dele, pelo menos nunca vi... provavelmente vc dever ter um mikrotik ai, eu te explico como é e vc tenta fazer no cisco, pois sinceramente não vi...


não preciso tentar fazer eu fiz meu irmao aki é CCNE cisco não sou amador não kkk
tenho firewall em forward no cisco 

em sua vasta experiencia nunca mexeu com firewall em cisco ????

----------


## Bruno

opa desculpa tava com o skype ligado no escritorio e estou em casa

----------


## Bruno

kkk não adianta eu devo não estar sabendo explicar

----------


## Bruno

puts o home alem de falar que ele trabalha com uma rede separada para gerencia nos ubnt 
uma rede privada ai não tem como a falha de segurança afetar ele 

mais quando o ip publico é o mesmo de gerencia o firewall não vai proteger de falha de segurança 

a solução é bem simples
trabalhar com ip de gerencia diferente do ip de conexão eu trabalho assim e o ardido ai tb porem ninguém comentou como trabalhava 

acontece que se vc usar o ip publico pra gerencia vc esta refém de falhas do fabricante 

se tu usar ip privados com firewall no core pra gerencia vc ta sossegado

----------


## ShadowRed

> puts o home alem de falar que ele trabalha com uma rede separada para gerencia nos ubnt 
> uma rede privada ai não tem como a falha de segurança afetar ele 
> 
> mais quando o ip publico é o mesmo de gerencia o firewall não vai proteger de falha de segurança 
> 
> a solução é bem simples
> trabalhar com ip de gerencia diferente do ip de conexão eu trabalho assim e o ardido ai tb porem ninguém comentou como trabalhava 
> 
> acontece que se vc usar o ip publico pra gerencia vc esta refém de falhas do fabricante 
> ...


 @*Bruno* desiste cara, na boa eu estou com vergonha alheia dele, ele não tem conhecimento suficiente para entender o que você quer explicar. E quanto mais ele escreve, mais vergonha passa.

----------


## FMANDU

@*ShadowRed* Eu ia falar a mesma coisa, mas ja que você já disse!!! Bom, se a própria UBNT já reconheceu o problema, como que nosso amigo ai vem falar que a culpa é nossa. A verdade é que essas falhas já viraram rotina nessa empresa, antes era só problema no hardware e agora é no software.

----------


## gutemberg

Sim, entendi, então bloqueia os acessos externos a porta 22, 23, 80 e 443 vindos do link, ou seja semelhante a regra de bloqueio de ataques DNS, em IP > firewall > filter e então permitir somente o IP's desejado a acessa-las.. Valeu vou postar o script e cabar com a briga.

----------


## jodrix

Vixe, o tópico andou de ontem pra cá, não quero alimentar trols, mas rpassistencia, vc desrespeitou vários colegas de fórum, se quer respeito, trate seus colegas com respeito e assim terá respeito em outros tempos vc ja teria sido banido daqui.

Concordo com Bruno em vários pontos, nao adianta tratar a borda se o ataque vem de dentro, creio que a solução seria através de VRF de serviço, mas dai teria que ta com a rede com OSPF, MPLS, BGP e VRFs migrada, o que creio nao seja ao cenário da maioria dos provedores, e outra, tenho varias SXT na rede e nunca tive problemas, meritos do fabricante(Mikrotik). Mas o assunto e longo e tem muito pano pra manga. Vamos continuar debatendo mas RESPEITANDO os colegas.

----------


## wld.net1

> O Problema é firewall SIM, eu provo... Mato a cobra e mostro o pau, quer pagar pra ver?
> Independente de ser IP Público ou NAT, o Problema é firewall.
> É que nós brasileiros estamos acostumados de só copiar e colar e nunca estudarmos, e colocamos a culpa nos fabricantes. Não adianta mudar as portas no equipamento final, não adianta colocar uma senha das galáxias. Faça um simples teste
> Seus clientes usam IP Público... Vcs conseguem acessar as antenas deles só colocando o IP no Browser de qualquer lugar?
> Se a resposta for sim, suas redes estão de pernas abertas, isso já é o bastante, vale para o NAT também.


Só que o problema não está só na borda colega mas sim no código da UBNT que está muito falho, mas de fato boas práticas são sempre bem vindas.

----------


## wld.net1

> não é só firewall não 
> não adianta vc ter firewall na borda sendo que o ataque pode vim do cliente e ai como vc vai fazer ???? o cliente ta com um worm la virou zunbinet e esta atacando de dentro da sua rede ????


kkkkkkkkkkkkkkkk, aja regra velho pra fazer isso, mano sério já estou perdendo a paciência o último blackout foram mais de 600 dispositivos de uma rede que presto consultoria sério mano essas falhas estão osso!  :Frown:

----------


## wld.net1

> Eu não entendo????
> Como assim????
> Quem é que está com vírus??? Eu ou vocês????
> Me respeita cara... Coitado de vc é de seus clientes que caíram na mão de um AMADOR que é Você...
> BICHO TEIMOSO.
> Esqueça UBNT TEIMOSO, os equipamentos são ótimos, vc que é despreparo, desculpe em te dizer a verdade, aceite a realidade é vai estudar numa faculdade...


Rapaz, messa as palavras. O @*Bruno* conheço a alguns anos e sinceramente até agora o cara é muito bom no que faz, não é babando ou até mesmo coisa de fã boi mas o cara é bom mesmo.  :Smile:

----------


## cassiodsn

> se a falha é somente em os de equipamentos ubnt e não afeta nem um outro e mesmo com uma atualização nova que deveria evitar se repetir oque acontecia em versões antigas não é o bastante para dizer que realmente é uma falha que não foi corrigida ? se eu pago caro em uma fechadura de marca que é a top de linha instalo ela na porta e depois descubro que qualquer chave abre a fechadura eu deveria gasta caro em um equipamento de alarme para ladrão não entra e continuar a usar a fechadura só pela marca ? 
> eu adoro a ubnt gosto muito mais assim pega! cliente não quer saber de desculpas se é isso ou aquilo quer é que funcione internet e a ubnt nessa nova atualização alguns equipamentos m2 e m5 loco airgrid tão apresentando comportamentos estranhos de travas reiniciando ate sumindo abas de configurações é só olhar o povo reclamando na comunidade isso é bug! não vírus e ai quem arca com a despesa de perde tempo tirando antena para reinstalar nem o novo ac5 prism ficou de fora! virus bug ta feio a coisa! sistema bom pode deixa a interface de gerenciamento aberta não tem ataque que invada o jeito é espera corrigi isso e ponto. 
> 
> Notificação de Segurança AirOS - BrickerBot, 4/21/2017
> Olá a todos,
> 
> Recebemos um pequeno número de relatórios em que os dispositivos da série airMAX M foram infectados com malware BrickerBot. Este malware não é específico ou orientado deliberadamente para o equipamento Ubiquiti. O ataque tem dois vetores:
> 
> Adivinhando credenciais de login fracas (nome de usuário e senha) em interfaces de gerenciamento abertas
> ...



Bom dia, rapaz já vi aberrações mais igual esta daqui foi a gota d'água!

*"sistema bom pode deixa a interface de gerenciamento aberta não tem ataque que invada"
*

Eu como profissional em segurança da informação estou chocado com tanta candura, mais respeito sua opinião.

Seguimos...

----------


## cassiodsn

> Vixe, o tópico andou de ontem pra cá, não quero alimentar trols, mas rpassistencia, vc desrespeitou vários colegas de fórum, se quer respeito, trate seus colegas com respeito e assim terá respeito em outros tempos vc ja teria sido banido daqui.
> 
> Concordo com Bruno em vários pontos, nao adianta tratar a borda se o ataque vem de dentro, creio que a solução seria através de VRF de serviço, mas dai teria que ta com a rede com OSPF, MPLS, BGP e VRFs migrada, o que creio nao seja ao cenário da maioria dos provedores, e outra, tenho varias SXT na rede e nunca tive problemas, meritos do fabricante(Mikrotik). Mas o assunto e longo e tem muito pano pra manga. Vamos continuar debatendo mas RESPEITANDO os colegas.


Caro colega, engano seu pensar que a Mikrotik é absoluta, para titulo de informação veja: https://wikileaks.org/ciav7p1/index.html.

Entenda uma coisa, nada é absoluto! mais a gente pode dificultar sim a entrada dos mais diversos tipos de ataque.

Abraço

----------


## cassiodsn

> é que vc não entende certas coisas o problema de virus ou qualquer outro é falha de segurança e pra evitar isto vc ameniza com firewall 
> 
> vc não pode defender um fabricante que deixa falha de segurança 
> 
> tenta injetar algum código em cisco, juniper, OS x unix freebsd
> 
> tu não vai conseguir a não ser que vc libere isto se chama firewall 
> ex: invada qualquer deste servidor por ssh
> não precisa de firewall não deixe a porta 22 open tu nunca vai conseguir 
> ...



Caro Bruno, em momento nenhum a ubiquiti deixa falha de segurança, não nesta última notícia divulgada por eles, se é esperto vai entender o motivo do novo ataque.

Não defendo nem "a" e nem "b", mais se você analisar bem a ubiquiti divulgou um alerta falando que o Malware NÃO É ESPECÍFICO PARA O EQUIPAMENTO UBIQUITI e muito menos bug deles, apenas um botnet agressivo que compromete dispositivos de camera IP, DVR e etc... Sendo assim, o comunicado feito adverte os VETORES de ataque do botnet que são: Brute force de login e senha "fracas" e uma vulnerabilidade de dispositivos linux antiga!

Volto a frisar novamente! NADA É ABSOLUTO! qualquer fabricante esta vulnerável e eu posso provar isso pra você.

Até breve!

----------


## pardall11

Boa noite para quem tem asn a melhor solução é de cara bloqueio dá porta 22 utp e TCP direto no Bgp com isto inibe o primeiro ataque nao vai ter nenhum técnico de ti incomodado reclamando desta porta com isto o programa que roda o vírus nao inicia ok e vocês tem que desabilitar a chave de ssh em baixo dá opção de ativar o ssh com isto nao tem como o vírus ser estalado vou postar mais tarde ums print de como resolvo isto em minha rede e nao estou atualizando o rádio para 6.03 meus rádios estão quase todos na 5.6.9 a versão 6.0x tem tem troca do quernel e umas falha de segurança logo compartilho com vocês braço

----------


## ShadowRed

> Quem estiver com problemas me fala que mostro com resolver... E acaba de vez com isso, assim vão ver como tenho razão, depois disso me excluam daqui... Obrigado


Aplicar regras de bloqueios no firewall para os serviços vulneráveis, só ter acesso por determinados IPs e manter os equipamentos ubiquiti isolados uns dos outros na rede, é básico e não precisa desse barulho todo não amigo.

O única coisa que eu vi em todas as suas postagens, foi você falando que firmwares acima da versão 5.6.4 não aceitava mais CT, e um usuário aqui do fórum mostrar que era possível e te ensinar, até agora só vi você recebendo informações.

Se quer defender o fabricante fique a vontade, se quiser ajudar e for algo diferente do que já foi descrito, poste suas regras. 
Isso aqui é uma comunidade que troca informações e não fica falando que faz e acontece sem mostrar.

E se você não consegue explicar porque um equipamento ubiquiti é mais vulneráveis que outras marcas na mesma rede, fica difícil acreditar no seu conhecimento absurdo em segurança da informação.

No mais, não estou falando com você em tom agressivo, estou mostrando minha posição nesse assunto apenas. 

E no fórum da ubiquiti tem o script que escaneia os equipamentos, remove o vírus e aplica o firmware que corrige a falha mais grave. 
Para essa nova falha no firmware que aceita o brutal-force e não tem como ativar a proteção no próprio firmware, só resta bloquear no firewall e torcer para o usuário não executar o script malicioso de dentro de sua rede doméstica.

Aqui o que faço é usar o firmware 5.5.6 e rodar um script em iptables fazendo basicamente o que o mikrotik faz com dois cliques, permitir apenas os IPs que quero que acessem os serviço, tanto da LAN como da WAN. 
Coisa que a ubiquiti já deveria ter implementado de forma nativa. Mas mesmo assim ainda tem risco, pelo simples fato dessa versão de kernel que ela usa ser vulnerável. 
Não tenho problemas usando elas dessa forma, mas isso foi uma alteração que eu efetuei em cima de uma falha grotesca que o fabricante possui.

----------


## gutemberg

Muita teoria por aqui...

----------


## ShadowRed

> Muita teoria por aqui...


Teoria não amigo, descrevi uma das várias possibilidades para aumentar a segurança nesses equipamentos, você quer os comandos para copiar e colar ? É isso ?

----------


## gutemberg

Acredito que bloqueando a porta 22 e 23 para toda a rede interna, ou seja rede interna sem acesso a essas portas. Um drop em IP > firewall > filter apontando para a rede interna especialmente das antenas, permitindo acesso somente de alguns ips específicos, proteje sobre qualquer, ataques nessas portas, tanto externo quanto interno.

----------


## gutemberg

> Teoria não amigo, descrevi uma das várias possibilidades para aumentar a segurança nesses equipamentos, você quer os comandos para copiar e colar ? É isso ?


Kkkk eu crio e passo para você. Copiar e colar.

----------


## gutemberg

Os Picas de antigamente não estão mais entre nós por aqui.. Enjoados estão rsrs

----------


## ShadowRed

> Kkkk eu crio e passo para você. Copiar e colar.


Não ri não amigo, é muito importante nesse cenário o bloqueio na ubiquiti também, rodando no shell dela o filtro. Porque se você executar o exploit de uma máquina atrás dela, rede doméstica ela vai sofrer o ataque. E foi o que disse em relação a usar a versão mais antiga executando esse script.

----------


## gutemberg

> Não ri não amigo, é muito importante nesse cenário o bloqueio na ubiquiti também, rodando no shell dela o filtro. Porque se você executar o exploit de uma máquina atrás dela, rede doméstica ela vai sofrer o ataque. E foi o que disse em relação a usar a versão mais antiga executando esse script.


Tranquilo.. [emoji6]

----------


## Nks

olha eu gosto muito da ubiquiti, em 2010 quando comecei a migra minha rede 2.4 para 5.8
a ubiquiti com o seu AirMax (TDMA) mudou o provedor da agua pro vinho com custo baixo!

uso ubnt desde 2010 sempre fui fã, sempre vesti a camisa deles, principalmente aquela que eles deram no forum!!!! kkkk

mais eles falharam no seu sistema AirOS, esse worm comecou la em 2012 e foi evoluindo
e falar que eh culpa do ISP por nao ter firewall...... sei la acho isso um descaso!

agora mais descaso ainda eh o cidadao achar que uma RB450G vai fazer papel de firewall!! e vai proteger toda a sua rede!!! kkkkkkkkk

firewall bom eh cisco nao tem conversa, firewall bom cisco vai ate de 40 mil reais pra mais!
e ai vc vai por isso pra "proteger" antena roteada em cliente final?

piada neh!?

----------


## Bruno

gnt o que o rpassistencia faz é somente trabalhar com vlan e ip de gerencia ex: o pppoe da o ip valido pro cliente e usa uma rede privada pra gerencia ai em cima desta rede privada ele faz um drop nas porta 80, 443 e 22 isto é normal 
além de a gerencia ser em uma rede privada tem o firewall 
isto tem que ser feito pq a ubnt vacila com a questão de segurança pois em outros fabricante vc não tem este problema 

porem o dia que acontecer de uma versão ter falha de segurança permitindo o que a versao 5.5.9 permitiu e algum cliente com vivus na maquina que abra um socket não vai adianta vc ter a vlan rede de gerencia separada firewall etc, pois qualquer adm de segurança sabe em quanto existir engenharia reversa nada é inviolável

----------


## Bruno

O fato dele pensar que cisco é vaidade mostra o quanto ele ainda é pequeno como ele diz AMADOR, espero que ele chegue em um ponto com o provedor dele que ele fale não , não tenho que colocar um cisco pois minha 1072 não esta aguentando

----------


## Mitigo

> e outra coisa, estudei sim Segurança e sou formado sim, mais isso não faz de mim o senhor sabichão, mas nesta questão de ubiquiti infelizmente eu penso que não ter um firewall pra proteger isso, é um erro muito primário de quem trabalha com redes, isso é básico. e o fato de eu ter estudado não quer dizer que me dê competência de ir par EUA ter um cartão verde e ganhar 300k por mês... pois tudo isso foi dito no fórum/// onde eu disse que poderia ajudar e todos foram contra dizendo que é impossível e que o problema é na ubnt... ninguém se quer me deu a chance de mostrar ou ao menos concordar... então o fórum não ajuda ninguém, aqui é um jogo onde um quer mostrar que sabe mais que o outro fazendo piadinhas e as pakitas ficam nos bastidores batendo palmas rindo e puxando o saco de quem tem mais argumento... francamente... isso é pobre....


Sou novo no fórum mais já vi que tem uma panela de moderadores​ que não aceita ninguém discordar de suas opiniões.

----------


## ericklobo

Bom dia pessoal!

Só para agregar...

Firewall não se limita ao ASA...

Com preços bem mais agressivos... Temos Sonicwall que devidamente licenciado, atua muito bem na proteção e solução mais robusta... Podem usar Fortinet com os pés nas costas.

Mas nenhum destes fabricantes tem o poder de proteger falhas de kernel.

----------


## alextaws

@*Bruno*

27 Mil clientes?

meus parabéns cara, você é bom no que faz.

PHD?

O tópico mais longo que já vi durante todo o tempo que estou no under linux.

Devo concordar em partes que o @*rpassistencia* disse.

Como também digo, isso é falha não só da ubiquiti, mais sim de um bom firewall, não tenho o profundo conhecimento dos senhores, leio sempre os post para captar aprendizada.

Tenho muitos clientes, e nessa versão o vírus alegado pelo membro @*netuai* que abriu o tópico ainda não surgiu, mais já vou ficar de olho.

Eu sempre ajudo dentro das limitações do meu conhecimento. Procurando sempre ajudar com clareza e a melhorar maneira da pessoa que pediu ajudar aprender.

Uma vez decidi pedir ajuda aqui em uma área que não faço nem ideia pra onde vai, claro antes de pedir já vinha uns dias estudando sobre o assunto e teve uma pessoa que não me recordo o nome deu uma resposta padrão tipo "estude, pesquise, se não sabe mude de profissão" resumindo não ajudou, sequer disse oque poderia ser, eu só venho no fórum quando não encontro pelo menos uma pista do que possa ser.

Mais voltando ao assunto, até agora eu não tive este problema.

Bom dia e bom feriado a todos.

----------


## AndrioPJ

> É fato que pecamos em não ter um bom firewall (analogamente falando, deixar as portas de sua casa completamente abertas), mas um sistema seguro também é bem-vindo. 
> 
> Até em Windows precisa ter um bom firewall, pra quem tem arquivos importantes armazenados nesse sistema sabe o quão assombroso está sendo esse Ransomware (e sempre terá aqueles que vão dizer que usam Linux e bla bla bla). 
> 
> O que quero dizer com isso? Que firewall é necessário, não modismo.


Não somente um Firewall, mas uma serie de tecnicas de segurança que em 90% dos casos não são praticados pelos proprios Administradores de Redes.
No caso do Windows, por questões de segurança, eu sempre faço o seguinte:
1 - Crio um outro usuario com permissão de administrador e desativo o usuario padrão (Administrador ou Administrator);
2 - Alterar a porta padrão do RDP
3 - Instalo um Firewall e um Anti virus.
4 - Se é servidor, eu desativo a execução automática nas portas USB.
5 - Crio um firewall para limitar quem pode fazer acesso remoto ao servidor, seja por IP conhecido por Know Port.




> Cada cabeça é uma sentença, na boa, não vou ficar remendando furo da ubnt, daqui a pouco vamos ter que colocar um puta firewall de alguns MILHARES de Reais para resolver um problema que é do fabricante que diga por passagem ta cagando pros seus clientes, (Eu nunca vi um mikrotik ser invadido) eu ja nao compro essas [email protected]#$% a mais de 3 anos so SXT que ja ta deixando a desejar tb, muita queima de porta LAN.
> 
> A solucao ja foi dada aqui, nao precisa de firewall, 
> 
> - Muda a Porta 80 e 433
> - Desabilite qualquer outra porta padrao( ssh, telnet, ...)
> - *Uma senha por cliente* 
> - Rede Roteada (bridge nem pensar)
> - Nao compre mais UBNT
> ...


Deixo aqui algumas considerações:
1 - Problema de segurança em firmware vai existir em todo e qualquer fabricante, é de responsabilidade do Administrador da rede ficar atento e manter a rede atualizada.
2 - Não precisa de um baita firewall... desde que você entenda o fluxo de pacotes, tenha conhecimento em TCP/IP e Protocolos de rede, um simples mikrotik já resolve.
3 - Não ha necessidade de desativar as portas padrão, mas sim alterar o endereço das portas padrão. OBS: se bem que tbm indico desativar as que você não vai usar.
4 - No mais, Nesse quesito de segurança, Roteada ou em bridge, dá na mesma meu caro, pois em qualquer uma delas é possivel o acesso a qualquer outro cliente na rede.




> O Problema é firewall SIM, eu provo... Mato a cobra e mostro o pau, quer pagar pra ver?
> Independente de ser IP Público ou NAT, o Problema é firewall.
> É que nós brasileiros estamos acostumados de só copiar e colar e nunca estudarmos, e colocamos a culpa nos fabricantes. Não adianta mudar as portas no equipamento final, não adianta colocar uma senha das galáxias. Faça um simples teste
> Seus clientes usam IP Público... Vcs conseguem acessar as antenas deles só colocando o IP no Browser de qualquer lugar?
> Se a resposta for sim, suas redes estão de pernas abertas, isso já é o bastante, vale para o NAT também.


Discordo quanto a parte de não precisa mudar as portas, todo bom Administrador de rede sabe que isso é uma das técnicas básicas e essenciais para segurança.




> é que vc não entende certas coisas o problema de virus ou qualquer outro é falha de segurança e pra evitar isto vc ameniza com firewall 
> 
> vc não pode defender um fabricante que deixa falha de segurança 
> 
> tenta injetar algum código em cisco, juniper, OS x unix freebsd
> 
> tu não vai conseguir a não ser que vc libere isto se chama firewall 
> ex: invada qualquer deste servidor por ssh
> não precisa de firewall não deixe a porta 22 open tu nunca vai conseguir 
> ...


Até cisco tem vulnerabilidade, pesquise na internet por "cisco exploit" e veja os resultados.
E olha que não precisamos ir longe, veja a data do alerta (19 de março de 2017): http://thehackernews.com/2017/03/cis...h-exploit.html

Nenhum fabricante está isento de falhas.
Alias, nenhum sistema na internet está isento.
Não existe proteção com apenas uma técnica.
A unica forma de minimizar os riscos é usar o máximo possível de técnicas de segurança.




> Cara deixa de ser teimoso, faz um parto desse rei que mora dentro de vc, a ubnt não tem culpa alguma... Sou especialista, sou formado na área, o Problema é Firewall SIM.


O problema não é tão somente firewall, mas sim falta de uma serie de técnicas.




> Os meus estão com as portas SSH ativas, e é a porta 22, não precisa desativar, pois é necessário ela ativa para os devidos inúmeros aplicações que eu venha a usar, o que fiz foi proteger minha rede minhas bordas meu core, aqui só entra e sai o que quero, tenho mais controle na rede do que na minha casa kkkkkkkkk


Manter porta padrão é uma bela falha heim....

----------


## AndrioPJ

> boa noite amigo,
> ate que fim uma explanação dentro do conceito, as vezes somos limitados nas palavras e isso faz com que as vezes somos incompreendidos, mas vc de forma sabia soube colocar uma exemplificação ampla de como conduzir uma rede. Aqui eu deixou as portas dos ubnts padrão por que deixo todos os equipamentos da minha rede dentro de uma rede privada, ou seja não tem nenhum nat ou gateway que faz com que meus equipamentos não saem para internet, e so saem para a internet quando eu quero fazer a atualização dos mesmos... e gostei mais ainda, é que, se fazer um resumão de tudo que vc escreveu fica claro, que vc deixa explicado que a maior responsabilidade da segurança de rede é do Administrador e não dos fabricantes, é isso que sempre tento dizer... e no meu entendimento todo equipamento de rede na ultima milha é "burro" temos que cuidar para que ele não seja vulnerável. resumindo o mundo precisa mais de pessoas "profissionais" como vc, é coerente e imparcial...
> parabéns.


Pelo que entendi, você isola a gerencia dos equipamentos, deixando eles "dentro de uma rede privada".
Isso evitaria o acesso externo aos equipamentos.... mas, e quanto ao acesso interno?
Vindo do cliente?
Ou seja, o próprio cliente pegou um vírus, e esse vírus está tentando "invadir" o Gateway dele (a CPE da casa do cliente)?
Como fica essa questão? o cliente consegue acessar a CPE dele pelas portas padrões?

----------


## AndrioPJ

> não... todo o pacote de dados que é enviado e recebido dentro da conexão pppoe passa por uma vlan fora da rede dos equipamentos, sem contar com uma regra que filto que faço, que tudo que vinhar de fora em direção as conexões pppoes que não seja resposta para o cliente é dropado...


mas eu não estou me referindo ao trafego WAN dele (conexão ppoe).
mas sim a conexão do cliente até a CPE dele.
Cliente ---- CPE ---- Internet (ou rede interna do provedor)

O cliente, de dentro da casa dele, consegue acessar a CPE dele nas portas padrões?
Pois se conseguir, já é uma falha.
Existem alguns virus que infectam os computadores dos clientes e somente então, tentam infectar o Roteador/Gateway.

----------


## AndrioPJ

> não existe esse caminho aqui... fica sendo apenas cliente -------------concentrador-------internet,,,, ele não enxerga o cpe


Então o cliente disca o PPoE diretamente no computador dele?
Não existe CPE no cliente ou a CPE fica em bridge?
Quais equipamentos você usa?

----------


## AndrioPJ

> vou mandar em anexo.. espero que entenda...Anexo 66778


show, você exemplificou a rede.
mas ainda não respondeu a pergunta.

Esqueça a rede interna do provedor, eu quero saber é da rede interna da casa do cliente... vou até refazer o desenho de antes:

Computador cliente ---- CPE --- Concentrador --- Internet

O cliente, de dentro da casa dele, consegue acessar a CPE dele (que está instalada lá na casa dele) nas portas padrões?
Pois se conseguir, já é uma falha.
Existem alguns virus que infectam os computadores dos clientes e somente então, tentam infectar o Roteador/Gateway.

----------


## AndrioPJ

> o cliente no terminal dele recebe o dhcp da antena, porem o gateway é do concentrador, a antena fica isolada... entendeu????


Não, não entendi... quais equipamentos vc usa?
Pois se for Ubiquiti, mesmo ativando a porta de gerencia externa em VLAN, o cliente ainda consegue, internamente, acessar a CPE que está na casa dele... pode não conseguir acessar de outros clientes do provedor, mas a dele ele consegue, a menos que vc troque as portas padrões.

Pelo que você disse, cliente recebe DHCP da CPE que está na casa dele.
Exemplo:
Cliente pegou o IP 192.168.1.30, Gateway 192.168.1.1

Logo, se o cliente for no navegador dele e digitar 192.168.1.1... ele acessa a CPE.
Veja que o trafego não saiu de dentro da rede interna dele.

----------


## Bruno

> Não, não entendi... quais equipamentos vc usa?
> Pois se for Ubiquiti, mesmo ativando a porta de gerencia externa em VLAN, o cliente ainda consegue, internamente, acessar a CPE que está na casa dele... pode não conseguir acessar de outros clientes do provedor, mas a dele ele consegue, a menos que vc troque as portas padrões.
> 
> Pelo que você disse, cliente recebe DHCP da CPE que está na casa dele.
> Exemplo:
> Cliente pegou o IP 192.168.1.30, Gateway 192.168.1.1
> 
> Logo, se o cliente for no navegador dele e digitar 192.168.1.1... ele acessa a CPE.
> Veja que o trafego não saiu de dentro da rede interna dele.


isto eu quis expor é fato que o cliente vai conseguir acessar normal porém o virus vai afetar apenas aquela cpe

----------


## Bruno

O modo que o @*rpassistencia* faz na sua rede esta correto faço assim tb isto segura vamos dizer 99% contra falha 
ele simplesmente separa a rede de gerencia dos ips publicos e faz um drop na rede privada não deixando ambas se comunicar
conversamos durante horas no skype ambos queria falar a mesma coisa porém diferente 

ai vcs pode me perguntar deste 1% é simples vamos supor que a ubnt em questão deixa uma falha de segurança deixando o gerenciamento por qualquer vlan ou pppoe 
ai todo trabalho nosso em isolar o gerenciamento da conexão não vai servir pra nada 
ex: o ip de gerencia do ubnt vai ser la 192.168.0.44 o ip do pppoe 200.100.10.2 entao unico ip que acessa as configurações ssh etc é o 192.168.0.44 mais por falha de segurança ele deixou acessar pelo 200.100.10.2 ai ferrou é isto que me refiro que firewall não segura tudo

----------


## Bruno

> @*Bruno*
> 
> 27 Mil clientes?
> 
> meus parabéns cara, você é bom no que faz.
> 
> PHD?
> 
> O tópico mais longo que já vi durante todo o tempo que estou no under linux.
> ...


opa 

sim 27k de cliente afinal é 18 anos de ISP 
sim sou tenho meu doutorado em ciência da computação porém phd no brasil não tem ainda ai não rola fazer

----------


## PortaNET

Boas...

Sem me pronunciar muito, para não sair do contexto do tema, confesso que li quase todas as 2x páginas deste tópico, onde no mesmo eu li e reli imensas atrocidades de pessoas com, phd´s, doutorados, mestrados etc.etc.etc....

Enfim, dou acessoria para empresas com mais de 4mil antenas em concetradores PPPOE , 99% tem AS com blocos de IPs publicos, e mesmo com NAT ou não, nenhum foi afetado.

Não existe mistério, nem mágica tudo se resume a um único quesito "segurança" isso mesmo segurança de rede.

Óbvio tenho mais de uma dezena de anos brincando com linux e firewall o que me deu 90% do quesito conhecimento para estruturar uma rede com os minimos quesitos de segurança.

quero confessar sem tentar ofender ninguém pois todos temos o direito de lutar e conquistar o nosso espaço.

Porém no Brasil hoje vemos a banalidade "gato" com ou sem outorga, optando por preço ao invés de qualidade.

Existem centenas de milhares de provedores de internet maioria ilegal ainda compartilhando o "gato" da ADSL com os 100 vizinhos no Bairro, isto porque deu conta de entrar no "youtube" e viu um video de 4 cliques para ligar um cabo via DHCP LAN do roteador adsl para a RB450, isto porque o video mais complicado de botar o modem adsl em Bridge e autenticar PPPOE WAN na RB450 com balanceamento já é mais avançado.


Existem milhares de provedores legalizados com outorga, que compra o mesmo equipamento, porque o outro provedor na região também compra e vende, como já tem as configs e os scripts prontos é só configurar igual. Ou seja porque é simples e prático.

Existem centenas de provedores legalizados que planejam investem $$$ e se estruturam em aprendizado, instrução e conhecimento para "começar a pensar Outside the box" Aqueles que sabem que nem tudo é o que parece ser.

O problema é que muitos provedores de internet hoje ainda procuram "e claro não é por culpa deles, pois eles mesmo não tem conhecimento" mas a grande realidade é que maioria dos Provedores de Internet procuram o famoso TI aka "also known as" Serviços Gerais.
Sempre com a mesma conversa de agregar valor a empresa... um verdadeiro faz de tudo um pouco. Ou seja um verdadeiro carro FLEX nem é bom para uma coisa nem é bom para outra... 



1- nunca existiu nem existe malware ou virus como se é chamado, quem realmente colocou as mãos no código como eu decompilei e analisei os que realmente entederam irão ver que nada mais é que um SCRIPT isso mesmo coisa comum no mundo linux. onde o mesmo explorava algumas vulnerabilidades no sistema.
Não adiantava ter uma senha padrão ou senha curta ou senha grande, a vulnerabilidade no exploit estava la que permitia carregar por GCI uma chave RSA ssh.. diferente onde essa chave continha a senha famosa entre outras coisas...


1- Já alguém se preocupou em analisar que tipo de sistema operativo funciona nos equipamentos ubiquiti ? Caso não tenham percebido é uma vertente Linux, tanto que alguns modelos antigos de produtos ubiquiti funcionam com firmware openWRT.. existem até umas placas novas de produtos ubiquiti sendo vendido com acesso ao código fonte linux para os interessados desenvolverem.


2- O iptables está la porque não tentar entender como funciona?


3- Por ultimo Filtrar vários Gbps de trafego em tempo Real ????? Simples não é fácil, mas também não é impossivel.


4- Também não é preciso filtrar o trafego para bloquear um script, que simplesmente poderia ter sido bloqueado com outros mecanismos de segurança... e não estou falando de equipamentos caros CISCO ou juniper....

5- 80% dos problemas se resolvem trocando portas padrão, desabilitando protocolos não utilizados nos equipamentos em uso diário, e claro gerar um certificado SSL para o ssh e para serviços Web, Senhas únicas para cada cliente acesso web... sei lá coisa do tipo oi adsl pppoe autenticador telf numero, ou alguns digitos unicos que identifiquem o cliente ou outro documento..

6- os outros 20% da proteção é feita com firewall.. existem inúmeras variantes para linux, ou até um safeBGP.

7- outro erro comum "ohhh vou usar firmware versão licenciada da pqp na torre" e vou instalar a ultima versão de firmware ou até uma mais antiga no cliente.. onde as correcões de bug são incompatíveis da rocket para a antena do cliente.. e depois se queixam que fica lento que trava do nada.. resumindo rocket com 5.6x e antena do cliente com 6.xx "ai não tem nem como tirar base para falar" o equipamento não presta, trava , perde pacotes, etc.etc.etc. sem pensar que pode estar ocorrendo problema de incompatibilidade ou os bugs não estarem corrigidos na versão da rocket que distribui o sinal dando problema para os clientes que estão com a versão totalmente diferente.

8- Erro comum da porra , cliente solicita o provedor para liberar a porta xxxyy na antena porque ele tem uma camera IP em casa onde ele quer acessar remoto no serviço dai o açogueiro que vai prestar o serviço não dá conta de efetuar um Port Forwarding no IP lan + porta especifica da Camera ou DVR.. dá um "buffer overflow" no cerebro dai vem a luz no fundo do tunel no pensamento "DMZ" Bingo problema resolvido.. quando dá conta o cliente tá ligando reclamado que foi hackeado ou sendo atacado , porque o acogueiro que não sabia criar uma regra simples para liberar uma unica Porta para um unico IP especifico, liberou o DMZ no equipamento colocando "Totalmente Fora da rede de proteção do firewall" o IP especifico da sua camera IP ou DVR..deixando assim todas as portas abertas naquela máquina na rede local "abrindo brecha para um bom exploit script" carregar e depois comecar a atacar ou saquear informacões de todos os outros computadores na rede.
Bom e por ai vai com outros periféricos ou tipo de equipamento


Bom o que eu quero resumir é simples "Segurança" e um bom conhecimento de Rede


DCHP e Pools ranges, discador PPPOE, balancemaneto de carga, todos sabem fazer e proteção na rede?

a Mesma coisa ocorre no dia a dia com Mikrotik "Tem muita função em um só equipamento" Dai o açogueiro vai e carrega a CCRxxxxx com tanta funcão e script, firewall, pppoe, bgp... dai com 500 clientes tá torrando processador "isso claro porque a grande maioria não sabe balancear a carga nos núcleos e dai quando verifica só tem um processador travado em 100%.


Resumindo cada macaco no seu galho..... um equipamento especifico para segurança, um equipamento especifico para link, um equipamento especifico para PPPOE autenticacão, um equipamento especifico para BGP, e por ai vai.

E claro "Contrate um técnico para cada área especifica no seu provedor" só assim irá conseguir se organizar e crescer corretamente.

Um faz de tudo por mais vontade que tenha, não dá conta nem tem tempo de se preparar para gerenciar tudo ao mesmo tempo, é igual ao meu comentário anterior.. Carro Flex

não é uma coisa nem outra, e infelizmente todo o conhecimento tem o seu preço.


Não querendo criticar ninguém mais uma vez repito, todos tem o direito de prosperar e tentar a sua sorte, apesar de sorte não ser um dos quesitos necessários para montar um provedor de internet.  :Dito:  isso boa "Sorte.....conhecimento" a todos.

Agora se perderam acesso ao equipamento o mais adequado e full factory reset, subir telhado por telhado e resetar e limpar potenciais scripts que tenham ficado de algum firmware antigo rodando o script na rede ele consegue mapear os outros equipamentos.

----------


## PortaNET

> O modo que o @*rpassistencia* faz na sua rede esta correto faço assim tb isto segura vamos dizer 99% contra falha 
> ele simplesmente separa a rede de gerencia dos ips publicos e faz um drop na rede privada não deixando ambas se comunicar
> conversamos durante horas no skype ambos queria falar a mesma coisa porém diferente 
> 
> ai vcs pode me perguntar deste 1% é simples vamos supor que a ubnt em questão deixa uma falha de segurança deixando o gerenciamento por qualquer vlan ou pppoe 
> ai todo trabalho nosso em isolar o gerenciamento da conexão não vai servir pra nada 
> ex: o ip de gerencia do ubnt vai ser la 192.168.0.44 o ip do pppoe 200.100.10.2 entao unico ip que acessa as configurações ssh etc é o 192.168.0.44 mais por falha de segurança ele deixou acessar pelo 200.100.10.2 ai ferrou é isto que me refiro que firewall não segura tudo


Hummm confesso que fiquei confuso....quem deixou o serviço Webif habilitado para a WAN IP publico? quem deixou a porta padrão 80 e https 443 padrão, quem deixou a porta ssh padrão habilitada?

Por ultimo quem falou que o script é executando usando o serviço SSH? A não ser que eu tenha analisado um script totalmente diferente...

O script que eu analisei e confirmo, ele mapeava na rede IP publico :Stick Out Tongue: orta padrão/cgi/xxxx 
devido ao uso da porta padrão web tomando vantagem do bug no CGI ele tinha acesso ao equipamento ubiquiti sem necessitar sequer saber o usuário ou senha, uma vez penetrado pelo bug CGI, o mesmo começava o modo Zombie, verificava todos os outros equipamentos na mesma rede através do log do sistema da antena.

Lembrando que isso foi possível porque existia uma função no firmware denominada de Custom Scripts, onde foi possível desenvolver um script com funções customizadas para serem executados dentro do equipamento ou seja dando uma liberdade maior para ampliarmos as funcionalidades do equipamento. Porém foi também o grande tendão de Aquiles.


Aug 19 11:57:18 system: Start
Aug 19 11:57:18 syslogd started: BusyBox v1.11.2
Aug 19 11:57:19 FileSystem: Start check...
Aug 19 11:57:20 dnsmasq[1076]: started, version 2.47 cachesize 150
Aug 19 11:57:20 dnsmasq[1076]: compile time options: IPv6 GNU-getopt no-DBus no-I18N TFTP
Aug 19 11:57:20 dnsmasq[1076]: DHCP, IP range 1xx.xxx.xxx.xxx -- 1xx.xxx.xxx.xxx, lease time 10m
Aug 19 11:57:20 dnsmasq[1076]: no servers found in /etc/resolv.conf, will retry
Aug 19 11:57:20 dnsmasq[1076]: read /etc/hosts - 1 addresses
Aug 19 11:57:20 pppd[1075]: Plugin rp-pppoe.so loaded.
Aug 19 11:57:20 pppd[1075]: RP-PPPoE plugin version 3.3 compiled against pppd 2.4.4
Aug 19 11:57:20 pppd[1075]: pppd 2.4.4 started by intervia, uid 0
Aug 19 11:57:20 dropbear[1077]: Not backgrounding
Aug 19 11:57:24 FileSystem: End check.
Aug 19 11:57:29 wireless: ath0 New Access Point/Cell address:8x:xx:xx:xx:xx:xx
Aug 19 11:57:30 pppd[1075]: PPP session is 37092
Aug 19 11:57:30 pppd[1075]: Using interface ppp0
Aug 19 11:57:30 pppd[1075]: Connect: ppp0 <--> ath0
Aug 19 11:57:32 pppd[1075]: Remote message: Login ok
Aug 19 11:57:32 pppd[1075]: PAP authentication succeeded
Aug 19 11:57:32 pppd[1075]: peer from calling number 4x:xE:0x:x2:6x:4x authorized
Aug 19 11:57:32 pppd[1075]: local IP address 191.x.1xx.xxx
Aug 19 11:57:32 pppd[1075]: remote IP address 1xx.xx.xxx.xxx

Dai bingo com remote ip e local ip ele começa a brincar e a tentar se conectar a outros equipamentos comprometidos dentro da REDE.. e quando reparou já tem toda a sua rede comprometida...

Nota referente ao comentário no meu post anterior "BusyBox"  :Rock: 


O que todos notaram foi que a senha tinha sido alterada, tanto para webif tanto para ssh, isso porque depois do script ser carregado no equipamento, o mesmo alterava os dados.

Porém ninguem se preocupou em descobrir como é que ele tinha entrado, e como ele tinha alterado os dados, e por ultimo como ele se estava espalhando para os outros equipamentos.


Eu cheguei a auxiliar outros provedores que não presto acessoria diretamente, mas que na hora do desespero pediram ajuda.

E eu comprovei,depois de remover o script de um equipamento de teste, apenas alterando usuário e senha unico, portas padrão 80,443,22 por outras portas foi o suficiente para eliminar o zombie de se espalhar na rede para os outros equipamentos.
Enquanto que outros equipamentos com as mesmas portas padrão, usuário e senha foram afetados.

O problema se deu na realidade ao uso de porta padrão 80,443 que estava configurado no script.


A grande verdade é essa, se você utiliza ASN com IP Publico no seu Provedor, e alguém de fora consegue acessar a porta WEB via IP publico do seu equipamento instalado no seu cliente, então você tem um problema de segurança sério.

Dos poucos modem adsl da Oi que trabalhei nunca vi nenhum com Porta 80 WebBrowser aberto por padrão default , onde qualquer pessoa digitando o seu IP publico conseguiria acessar.

Nunca vi nenhum equipamento de fibra da vivo vir com porta padrão 80,443 habilitado para porta WAN com IP publico.


Nunca vi nenhuma ONU fiberhome vir com porta padrão 80,443,22 habilitado para WAN IP publico por configuração padrão.

Isto porque as operadoras mencionadas ou fabricantes utilizam protocolo próprio para se comunicar com os equipamentos, atualizacão de firmware etc.. sem ter que habilitar ou colocar em risco nenhum das portas padrão ou protocolos disponíveis para uso de navegação a internet.


Então eu pergunto porque deixar WAN acesso com IP publico autenticado no cliente com porta padrão? Não faz sentido.

Caso o cliente queira assumir o risco, ele mesmo terá que solicitar, caso contrário tudo acesso WAN webif dos equipamentos deve ser fechado completo, em ultimo caso , se for realmente necessário configurar um ddns URL exclusivo ou IP fixo para acesso remoto, configuravel via IPtables

----------


## FernandoB

Olá...

Salve ao amigo PortaNET, que tem toda razão, só queria completar aqui se me permitem.

O pessoal que vem aqui no fórum reclamar de Ubiquiti e muitas vezes em grupos do Whats e outros lugares teimam em continuar comprando esse LIXO! Olha eu até acho engraçado que a maioria diz que usa UBNT por que MK é muito complicado, tem muita opção, resumindo acabam se declarando amadores e dando o títudo de "Pica da Galáxia" pra quem sabe trabalhar com MK. Leiam o que vocês mesmo vêm escrevendo a praticamente uma década sempre falando mal de UBNT e dizendo que MK é difícil, será que ainda não deu tempo pra entender que é só parar de ser preguiçoso e fazer igual o Saudoso Clóvis de Barros diz 




Senta a bunda na cadeira e estuda ou paga pra alguém que sabe fazer o certo pra você, do contrário vão se passar mais uma década e você ainda vai estar ai falando mau de UBNT e continuando a usar ele. kkkkkkkkkkkkkkkkkkkkkkkk 

Esse povo que vende ubiquiti olha uma promoção incrível e olha a oportunidade de ganhar uma grana as custas da desgraça dos outros, ai compra uma montanha dessas porcarias a preço de banana e faz uma promoção ai manda pro dono do provedor, o cara não sabe contabilizar custo X benefício, esquece de contar o tempo, combustível, stress, desconto de mensalidade e uma porrada de complicações que todo mundo já sabe que essas merdas de UBNT causam o cara na hora de por a mão no bolso só pensa em custo = valor do equipamento e benefício = ??? muita gente pensa, que por ser 5.8 não sei quantos Db de potencia, e não sei mais o quê, acha que é tudo a mesma coisa....porra, a diferença de um UBNT ou qqr outra marca lixo salvo as que tem precedentes pra um MK é astronômica então aprenda de uma vez por todas, se você comprar lixo você vai ter um monte de sujeira pra limpar depois.

----------


## Nielsen

Minha rede tem muito mais RMA em ubiquiti.
Virus somente em ubiquiti
problemas de sinal e lan off somente em ubiquiti
Onde rodo com mk é só alegria.
Desejo a falencia dessa empresa xulera
E nao me venham com essa de lição de casa

----------


## PortaNET

Boas...

Sem me pronunciar muito, para não sair do contexto do tema, confesso que li quase todas as 2x páginas deste tópico, onde no mesmo eu li e reli imensas atrocidades de pessoas com, phd´s, doutorados, mestrados etc.etc.etc....

Enfim, dou acessoria para empresas com mais de 4mil antenas em concetradores PPPOE , 99% tem AS com blocos de IPs publicos, e mesmo com NAT ou não, nenhum foi afetado.

Não existe mistério, nem mágica tudo se resume a um único quesito "segurança" isso mesmo segurança de rede.

Óbvio tenho mais de uma dezena de anos brincando com linux e firewall o que me deu 90% do quesito conhecimento para estruturar uma rede com os minimos quesitos de segurança.

quero confessar sem tentar ofender ninguém pois todos temos o direito de lutar e conquistar o nosso espaço.

Porém no Brasil hoje vemos a banalidade "gato" com ou sem outorga, optando por preço ao invés de qualidade.

Existem centenas de milhares de provedores de internet maioria ilegal ainda compartilhando o "gato" da ADSL com os 100 vizinhos no Bairro, isto porque deu conta de entrar no "youtube" e viu um video de 4 cliques para ligar um cabo via DHCP LAN do roteador adsl para a RB450, isto porque o video mais complicado de botar o modem adsl em Bridge e autenticar PPPOE WAN na RB450 com balanceamento já é mais avançado.


Existem milhares de provedores legalizados com outorga, que compra o mesmo equipamento, porque o outro provedor na região também compra e vende, como já tem as configs e os scripts prontos é só configurar igual. Ou seja porque é simples e prático.

Existem centenas de provedores legalizados que planejam investem $$$ e se estruturam em aprendizado, instrução e conhecimento para "começar a pensar Outside the box" Aqueles que sabem que nem tudo é o que parece ser.

O problema é que muitos provedores de internet hoje ainda procuram "e claro não é por culpa deles, pois eles mesmo não tem conhecimento" mas a grande realidade é que maioria dos Provedores de Internet procuram o famoso TI aka "also known as" Serviços Gerais.
Sempre com a mesma conversa de agregar valor a empresa... um verdadeiro faz de tudo um pouco. Ou seja um verdadeiro carro FLEX nem é bom para uma coisa nem é bom para outra... 



1- nunca existiu nem existe malware ou virus como se é chamado, quem realmente colocou as mãos no código como eu decompilei e analisei os que realmente entederam irão ver que nada mais é que um SCRIPT isso mesmo coisa comum no mundo linux. onde o mesmo explorava algumas vulnerabilidades no sistema.
Não adiantava ter uma senha padrão ou senha curta ou senha grande, a vulnerabilidade no exploit estava la que permitia carregar por GCI uma chave RSA ssh.. diferente onde essa chave continha a senha famosa entre outras coisas...


1- Já alguém se preocupou em analisar que tipo de sistema operativo funciona nos equipamentos ubiquiti ? Caso não tenham percebido é uma vertente Linux, tanto que alguns modelos antigos de produtos ubiquiti funcionam com firmware openWRT.. existem até umas placas novas de produtos ubiquiti sendo vendido com acesso ao código fonte linux para os interessados desenvolverem.


2- O iptables está la porque não tentar entender como funciona?


3- Por ultimo Filtrar vários Gbps de trafego em tempo Real ????? Simples não é fácil, mas também não é impossivel.


4- Também não é preciso filtrar o trafego para bloquear um script, que simplesmente poderia ter sido bloqueado com outros mecanismos de segurança... e não estou falando de equipamentos caros CISCO ou juniper....

5- 80% dos problemas se resolvem trocando portas padrão, desabilitando protocolos não utilizados nos equipamentos em uso diário, e claro gerar um certificado SSL para o ssh e para serviços Web, Senhas únicas para cada cliente acesso web... sei lá coisa do tipo oi adsl pppoe autenticador telf numero, ou alguns digitos unicos que identifiquem o cliente ou outro documento..

6- os outros 20% da proteção é feita com firewall.. existem inúmeras variantes para linux, ou até um safeBGP.

7- outro erro comum "ohhh vou usar firmware versão licenciada da pqp na torre" e vou instalar a ultima versão de firmware ou até uma mais antiga no cliente.. onde as correcões de bug são incompatíveis da rocket para a antena do cliente.. e depois se queixam que fica lento que trava do nada.. resumindo rocket com 5.6x e antena do cliente com 6.xx "ai não tem nem como tirar base para falar" o equipamento não presta, trava , perde pacotes, etc.etc.etc. sem pensar que pode estar ocorrendo problema de incompatibilidade ou os bugs não estarem corrigidos na versão da rocket que distribui o sinal dando problema para os clientes que estão com a versão totalmente diferente.

8- Erro comum da porra , cliente solicita o provedor para liberar a porta xxxyy na antena porque ele tem uma camera IP em casa onde ele quer acessar remoto no serviço dai o açogueiro que vai prestar o serviço não dá conta de efetuar um Port Forwarding no IP lan + porta especifica da Camera ou DVR.. dá um "buffer overflow" no cerebro dai vem a luz no fundo do tunel no pensamento "DMZ" Bingo problema resolvido.. quando dá conta o cliente tá ligando reclamado que foi hackeado ou sendo atacado , porque o acogueiro que não sabia criar uma regra simples para liberar uma unica Porta para um unico IP especifico, liberou o DMZ no equipamento colocando "Totalmente Fora da rede de proteção do firewall" o IP especifico da sua camera IP ou DVR..deixando assim todas as portas abertas naquela máquina na rede local "abrindo brecha para um bom exploit script" carregar e depois comecar a atacar ou saquear informacões de todos os outros computadores na rede.
Bom e por ai vai com outros periféricos ou tipo de equipamento


Bom o que eu quero resumir é simples "Segurança" e um bom conhecimento de Rede


DCHP e Pools ranges, discador PPPOE, balancemaneto de carga, todos sabem fazer e proteção na rede?

a Mesma coisa ocorre no dia a dia com Mikrotik "Tem muita função em um só equipamento" Dai o açogueiro vai e carrega a CCRxxxxx com tanta funcão e script, firewall, pppoe, bgp... dai com 500 clientes tá torrando processador "isso claro porque a grande maioria não sabe balancear a carga nos núcleos e dai quando verifica só tem um processador travado em 100%.


Resumindo cada macaco no seu galho..... um equipamento especifico para segurança, um equipamento especifico para link, um equipamento especifico para PPPOE autenticacão, um equipamento especifico para BGP, e por ai vai.

E claro "Contrate um técnico para cada área especifica no seu provedor" só assim irá conseguir se organizar e crescer corretamente.

Um faz de tudo por mais vontade que tenha, não dá conta nem tem tempo de se preparar para gerenciar tudo ao mesmo tempo, é igual ao meu comentário anterior.. Carro Flex

não é uma coisa nem outra, e infelizmente todo o conhecimento tem o seu preço.


Não querendo criticar ninguém mais uma vez repito, todos tem o direito de prosperar e tentar a sua sorte, apesar de sorte não ser um dos quesitos necessários para montar um provedor de internet.  :Dito:  isso boa "Sorte.....conhecimento" a todos.

Agora se perderam acesso ao equipamento o mais adequado e full factory reset, subir telhado por telhado e resetar e limpar potenciais scripts que tenham ficado de algum firmware antigo rodando o script na rede ele consegue mapear os outros equipamentos.

----------


## PortaNET

> O modo que o @*rpassistencia* faz na sua rede esta correto faço assim tb isto segura vamos dizer 99% contra falha 
> ele simplesmente separa a rede de gerencia dos ips publicos e faz um drop na rede privada não deixando ambas se comunicar
> conversamos durante horas no skype ambos queria falar a mesma coisa porém diferente 
> 
> ai vcs pode me perguntar deste 1% é simples vamos supor que a ubnt em questão deixa uma falha de segurança deixando o gerenciamento por qualquer vlan ou pppoe 
> ai todo trabalho nosso em isolar o gerenciamento da conexão não vai servir pra nada 
> ex: o ip de gerencia do ubnt vai ser la 192.168.0.44 o ip do pppoe 200.100.10.2 entao unico ip que acessa as configurações ssh etc é o 192.168.0.44 mais por falha de segurança ele deixou acessar pelo 200.100.10.2 ai ferrou é isto que me refiro que firewall não segura tudo


Hummm confesso que fiquei confuso....quem deixou o serviço Webif habilitado para a WAN IP publico? quem deixou a porta padrão 80 e https 443 padrão, quem deixou a porta ssh padrão habilitada?

Por ultimo quem falou que o script é executando usando o serviço SSH? A não ser que eu tenha analisado um script totalmente diferente...

O script que eu analisei e confirmo, ele mapeava na rede IP publico :Stick Out Tongue: orta padrão/cgi/xxxx 
devido ao uso da porta padrão web tomando vantagem do bug no CGI ele tinha acesso ao equipamento ubiquiti sem necessitar sequer saber o usuário ou senha, uma vez penetrado pelo bug CGI, o mesmo começava o modo Zombie, verificava todos os outros equipamentos na mesma rede através do log do sistema da antena.

Lembrando que isso foi possível porque existia uma função no firmware denominada de Custom Scripts, onde foi possível desenvolver um script com funções customizadas para serem executados dentro do equipamento ou seja dando uma liberdade maior para ampliarmos as funcionalidades do equipamento. Porém foi também o grande tendão de Aquiles.


Aug 19 11:57:18 system: Start
Aug 19 11:57:18 syslogd started: BusyBox v1.11.2
Aug 19 11:57:19 FileSystem: Start check...
Aug 19 11:57:20 dnsmasq[1076]: started, version 2.47 cachesize 150
Aug 19 11:57:20 dnsmasq[1076]: compile time options: IPv6 GNU-getopt no-DBus no-I18N TFTP
Aug 19 11:57:20 dnsmasq[1076]: DHCP, IP range 1xx.xxx.xxx.xxx -- 1xx.xxx.xxx.xxx, lease time 10m
Aug 19 11:57:20 dnsmasq[1076]: no servers found in /etc/resolv.conf, will retry
Aug 19 11:57:20 dnsmasq[1076]: read /etc/hosts - 1 addresses
Aug 19 11:57:20 pppd[1075]: Plugin rp-pppoe.so loaded.
Aug 19 11:57:20 pppd[1075]: RP-PPPoE plugin version 3.3 compiled against pppd 2.4.4
Aug 19 11:57:20 pppd[1075]: pppd 2.4.4 started by intervia, uid 0
Aug 19 11:57:20 dropbear[1077]: Not backgrounding
Aug 19 11:57:24 FileSystem: End check.
Aug 19 11:57:29 wireless: ath0 New Access Point/Cell address:8x:xx:xx:xx:xx:xx
Aug 19 11:57:30 pppd[1075]: PPP session is 37092
Aug 19 11:57:30 pppd[1075]: Using interface ppp0
Aug 19 11:57:30 pppd[1075]: Connect: ppp0 <--> ath0
Aug 19 11:57:32 pppd[1075]: Remote message: Login ok
Aug 19 11:57:32 pppd[1075]: PAP authentication succeeded
Aug 19 11:57:32 pppd[1075]: peer from calling number 4x:xE:0x:x2:6x:4x authorized
Aug 19 11:57:32 pppd[1075]: local IP address 191.x.1xx.xxx
Aug 19 11:57:32 pppd[1075]: remote IP address 1xx.xx.xxx.xxx

Dai bingo com remote ip e local ip ele começa a brincar e a tentar se conectar a outros equipamentos comprometidos dentro da REDE.. e quando reparou já tem toda a sua rede comprometida...

Nota referente ao comentário no meu post anterior "BusyBox"  :Rock: 


O que todos notaram foi que a senha tinha sido alterada, tanto para webif tanto para ssh, isso porque depois do script ser carregado no equipamento, o mesmo alterava os dados.

Porém ninguem se preocupou em descobrir como é que ele tinha entrado, e como ele tinha alterado os dados, e por ultimo como ele se estava espalhando para os outros equipamentos.


Eu cheguei a auxiliar outros provedores que não presto acessoria diretamente, mas que na hora do desespero pediram ajuda.

E eu comprovei,depois de remover o script de um equipamento de teste, apenas alterando usuário e senha unico, portas padrão 80,443,22 por outras portas foi o suficiente para eliminar o zombie de se espalhar na rede para os outros equipamentos.
Enquanto que outros equipamentos com as mesmas portas padrão, usuário e senha foram afetados.

O problema se deu na realidade ao uso de porta padrão 80,443 que estava configurado no script.


A grande verdade é essa, se você utiliza ASN com IP Publico no seu Provedor, e alguém de fora consegue acessar a porta WEB via IP publico do seu equipamento instalado no seu cliente, então você tem um problema de segurança sério.

Dos poucos modem adsl da Oi que trabalhei nunca vi nenhum com Porta 80 WebBrowser aberto por padrão default , onde qualquer pessoa digitando o seu IP publico conseguiria acessar.

Nunca vi nenhum equipamento de fibra da vivo vir com porta padrão 80,443 habilitado para porta WAN com IP publico.


Nunca vi nenhuma ONU fiberhome vir com porta padrão 80,443,22 habilitado para WAN IP publico por configuração padrão.

Isto porque as operadoras mencionadas ou fabricantes utilizam protocolo próprio para se comunicar com os equipamentos, atualizacão de firmware etc.. sem ter que habilitar ou colocar em risco nenhum das portas padrão ou protocolos disponíveis para uso de navegação a internet.


Então eu pergunto porque deixar WAN acesso com IP publico autenticado no cliente com porta padrão? Não faz sentido.

Caso o cliente queira assumir o risco, ele mesmo terá que solicitar, caso contrário tudo acesso WAN webif dos equipamentos deve ser fechado completo, em ultimo caso , se for realmente necessário configurar um ddns URL exclusivo ou IP fixo para acesso remoto, configuravel via IPtables

----------


## FernandoB

Olá...

Salve ao amigo PortaNET, que tem toda razão, só queria completar aqui se me permitem.

O pessoal que vem aqui no fórum reclamar de Ubiquiti e muitas vezes em grupos do Whats e outros lugares teimam em continuar comprando esse LIXO! Olha eu até acho engraçado que a maioria diz que usa UBNT por que MK é muito complicado, tem muita opção, resumindo acabam se declarando amadores e dando o títudo de "Pica da Galáxia" pra quem sabe trabalhar com MK. Leiam o que vocês mesmo vêm escrevendo a praticamente uma década sempre falando mal de UBNT e dizendo que MK é difícil, será que ainda não deu tempo pra entender que é só parar de ser preguiçoso e fazer igual o Saudoso Clóvis de Barros diz 




Senta a bunda na cadeira e estuda ou paga pra alguém que sabe fazer o certo pra você, do contrário vão se passar mais uma década e você ainda vai estar ai falando mau de UBNT e continuando a usar ele. kkkkkkkkkkkkkkkkkkkkkkkk 

Esse povo que vende ubiquiti olha uma promoção incrível e olha a oportunidade de ganhar uma grana as custas da desgraça dos outros, ai compra uma montanha dessas porcarias a preço de banana e faz uma promoção ai manda pro dono do provedor, o cara não sabe contabilizar custo X benefício, esquece de contar o tempo, combustível, stress, desconto de mensalidade e uma porrada de complicações que todo mundo já sabe que essas merdas de UBNT causam o cara na hora de por a mão no bolso só pensa em custo = valor do equipamento e benefício = ??? muita gente pensa, que por ser 5.8 não sei quantos Db de potencia, e não sei mais o quê, acha que é tudo a mesma coisa....porra, a diferença de um UBNT ou qqr outra marca lixo salvo as que tem precedentes pra um MK é astronômica então aprenda de uma vez por todas, se você comprar lixo você vai ter um monte de sujeira pra limpar depois.

----------


## Nielsen

Minha rede tem muito mais RMA em ubiquiti.
Virus somente em ubiquiti
problemas de sinal e lan off somente em ubiquiti
Onde rodo com mk é só alegria.
Desejo a falencia dessa empresa xulera
E nao me venham com essa de lição de casa

----------


## PortaNET

Boas...

Sem me pronunciar muito, para não sair do contexto do tema, confesso que li quase todas as 2x páginas deste tópico, onde no mesmo eu li e reli imensas atrocidades de pessoas com, phd´s, doutorados, mestrados etc.etc.etc....

Enfim, dou acessoria para empresas com mais de 4mil antenas em concetradores PPPOE , 99% tem AS com blocos de IPs publicos, e mesmo com NAT ou não, nenhum foi afetado.

Não existe mistério, nem mágica tudo se resume a um único quesito "segurança" isso mesmo segurança de rede.

Óbvio tenho mais de uma dezena de anos brincando com linux e firewall o que me deu 90% do quesito conhecimento para estruturar uma rede com os minimos quesitos de segurança.

quero confessar sem tentar ofender ninguém pois todos temos o direito de lutar e conquistar o nosso espaço.

Porém no Brasil hoje vemos a banalidade "gato" com ou sem outorga, optando por preço ao invés de qualidade.

Existem centenas de milhares de provedores de internet maioria ilegal ainda compartilhando o "gato" da ADSL com os 100 vizinhos no Bairro, isto porque deu conta de entrar no "youtube" e viu um video de 4 cliques para ligar um cabo via DHCP LAN do roteador adsl para a RB450, isto porque o video mais complicado de botar o modem adsl em Bridge e autenticar PPPOE WAN na RB450 com balanceamento já é mais avançado.


Existem milhares de provedores legalizados com outorga, que compra o mesmo equipamento, porque o outro provedor na região também compra e vende, como já tem as configs e os scripts prontos é só configurar igual. Ou seja porque é simples e prático.

Existem centenas de provedores legalizados que planejam investem $$$ e se estruturam em aprendizado, instrução e conhecimento para "começar a pensar Outside the box" Aqueles que sabem que nem tudo é o que parece ser.

O problema é que muitos provedores de internet hoje ainda procuram "e claro não é por culpa deles, pois eles mesmo não tem conhecimento" mas a grande realidade é que maioria dos Provedores de Internet procuram o famoso TI aka "also known as" Serviços Gerais.
Sempre com a mesma conversa de agregar valor a empresa... um verdadeiro faz de tudo um pouco. Ou seja um verdadeiro carro FLEX nem é bom para uma coisa nem é bom para outra... 



1- nunca existiu nem existe malware ou virus como se é chamado, quem realmente colocou as mãos no código como eu decompilei e analisei os que realmente entederam irão ver que nada mais é que um SCRIPT isso mesmo coisa comum no mundo linux. onde o mesmo explorava algumas vulnerabilidades no sistema.
Não adiantava ter uma senha padrão ou senha curta ou senha grande, a vulnerabilidade no exploit estava la que permitia carregar por GCI uma chave RSA ssh.. diferente onde essa chave continha a senha famosa entre outras coisas...


1- Já alguém se preocupou em analisar que tipo de sistema operativo funciona nos equipamentos ubiquiti ? Caso não tenham percebido é uma vertente Linux, tanto que alguns modelos antigos de produtos ubiquiti funcionam com firmware openWRT.. existem até umas placas novas de produtos ubiquiti sendo vendido com acesso ao código fonte linux para os interessados desenvolverem.


2- O iptables está la porque não tentar entender como funciona?


3- Por ultimo Filtrar vários Gbps de trafego em tempo Real ????? Simples não é fácil, mas também não é impossivel.


4- Também não é preciso filtrar o trafego para bloquear um script, que simplesmente poderia ter sido bloqueado com outros mecanismos de segurança... e não estou falando de equipamentos caros CISCO ou juniper....

5- 80% dos problemas se resolvem trocando portas padrão, desabilitando protocolos não utilizados nos equipamentos em uso diário, e claro gerar um certificado SSL para o ssh e para serviços Web, Senhas únicas para cada cliente acesso web... sei lá coisa do tipo oi adsl pppoe autenticador telf numero, ou alguns digitos unicos que identifiquem o cliente ou outro documento..

6- os outros 20% da proteção é feita com firewall.. existem inúmeras variantes para linux, ou até um safeBGP.

7- outro erro comum "ohhh vou usar firmware versão licenciada da pqp na torre" e vou instalar a ultima versão de firmware ou até uma mais antiga no cliente.. onde as correcões de bug são incompatíveis da rocket para a antena do cliente.. e depois se queixam que fica lento que trava do nada.. resumindo rocket com 5.6x e antena do cliente com 6.xx "ai não tem nem como tirar base para falar" o equipamento não presta, trava , perde pacotes, etc.etc.etc. sem pensar que pode estar ocorrendo problema de incompatibilidade ou os bugs não estarem corrigidos na versão da rocket que distribui o sinal dando problema para os clientes que estão com a versão totalmente diferente.

8- Erro comum da porra , cliente solicita o provedor para liberar a porta xxxyy na antena porque ele tem uma camera IP em casa onde ele quer acessar remoto no serviço dai o açogueiro que vai prestar o serviço não dá conta de efetuar um Port Forwarding no IP lan + porta especifica da Camera ou DVR.. dá um "buffer overflow" no cerebro dai vem a luz no fundo do tunel no pensamento "DMZ" Bingo problema resolvido.. quando dá conta o cliente tá ligando reclamado que foi hackeado ou sendo atacado , porque o acogueiro que não sabia criar uma regra simples para liberar uma unica Porta para um unico IP especifico, liberou o DMZ no equipamento colocando "Totalmente Fora da rede de proteção do firewall" o IP especifico da sua camera IP ou DVR..deixando assim todas as portas abertas naquela máquina na rede local "abrindo brecha para um bom exploit script" carregar e depois comecar a atacar ou saquear informacões de todos os outros computadores na rede.
Bom e por ai vai com outros periféricos ou tipo de equipamento


Bom o que eu quero resumir é simples "Segurança" e um bom conhecimento de Rede


DCHP e Pools ranges, discador PPPOE, balancemaneto de carga, todos sabem fazer e proteção na rede?

a Mesma coisa ocorre no dia a dia com Mikrotik "Tem muita função em um só equipamento" Dai o açogueiro vai e carrega a CCRxxxxx com tanta funcão e script, firewall, pppoe, bgp... dai com 500 clientes tá torrando processador "isso claro porque a grande maioria não sabe balancear a carga nos núcleos e dai quando verifica só tem um processador travado em 100%.


Resumindo cada macaco no seu galho..... um equipamento especifico para segurança, um equipamento especifico para link, um equipamento especifico para PPPOE autenticacão, um equipamento especifico para BGP, e por ai vai.

E claro "Contrate um técnico para cada área especifica no seu provedor" só assim irá conseguir se organizar e crescer corretamente.

Um faz de tudo por mais vontade que tenha, não dá conta nem tem tempo de se preparar para gerenciar tudo ao mesmo tempo, é igual ao meu comentário anterior.. Carro Flex

não é uma coisa nem outra, e infelizmente todo o conhecimento tem o seu preço.


Não querendo criticar ninguém mais uma vez repito, todos tem o direito de prosperar e tentar a sua sorte, apesar de sorte não ser um dos quesitos necessários para montar um provedor de internet.  :Dito:  isso boa "Sorte.....conhecimento" a todos.

Agora se perderam acesso ao equipamento o mais adequado e full factory reset, subir telhado por telhado e resetar e limpar potenciais scripts que tenham ficado de algum firmware antigo rodando o script na rede ele consegue mapear os outros equipamentos.

----------


## PortaNET

> O modo que o @*rpassistencia* faz na sua rede esta correto faço assim tb isto segura vamos dizer 99% contra falha 
> ele simplesmente separa a rede de gerencia dos ips publicos e faz um drop na rede privada não deixando ambas se comunicar
> conversamos durante horas no skype ambos queria falar a mesma coisa porém diferente 
> 
> ai vcs pode me perguntar deste 1% é simples vamos supor que a ubnt em questão deixa uma falha de segurança deixando o gerenciamento por qualquer vlan ou pppoe 
> ai todo trabalho nosso em isolar o gerenciamento da conexão não vai servir pra nada 
> ex: o ip de gerencia do ubnt vai ser la 192.168.0.44 o ip do pppoe 200.100.10.2 entao unico ip que acessa as configurações ssh etc é o 192.168.0.44 mais por falha de segurança ele deixou acessar pelo 200.100.10.2 ai ferrou é isto que me refiro que firewall não segura tudo


Hummm confesso que fiquei confuso....quem deixou o serviço Webif habilitado para a WAN IP publico? quem deixou a porta padrão 80 e https 443 padrão, quem deixou a porta ssh padrão habilitada?

Por ultimo quem falou que o script é executando usando o serviço SSH? A não ser que eu tenha analisado um script totalmente diferente...

O script que eu analisei e confirmo, ele mapeava na rede IP publico :Stick Out Tongue: orta padrão/cgi/xxxx 
devido ao uso da porta padrão web tomando vantagem do bug no CGI ele tinha acesso ao equipamento ubiquiti sem necessitar sequer saber o usuário ou senha, uma vez penetrado pelo bug CGI, o mesmo começava o modo Zombie, verificava todos os outros equipamentos na mesma rede através do log do sistema da antena.

Lembrando que isso foi possível porque existia uma função no firmware denominada de Custom Scripts, onde foi possível desenvolver um script com funções customizadas para serem executados dentro do equipamento ou seja dando uma liberdade maior para ampliarmos as funcionalidades do equipamento. Porém foi também o grande tendão de Aquiles.


Aug 19 11:57:18 system: Start
Aug 19 11:57:18 syslogd started: BusyBox v1.11.2
Aug 19 11:57:19 FileSystem: Start check...
Aug 19 11:57:20 dnsmasq[1076]: started, version 2.47 cachesize 150
Aug 19 11:57:20 dnsmasq[1076]: compile time options: IPv6 GNU-getopt no-DBus no-I18N TFTP
Aug 19 11:57:20 dnsmasq[1076]: DHCP, IP range 1xx.xxx.xxx.xxx -- 1xx.xxx.xxx.xxx, lease time 10m
Aug 19 11:57:20 dnsmasq[1076]: no servers found in /etc/resolv.conf, will retry
Aug 19 11:57:20 dnsmasq[1076]: read /etc/hosts - 1 addresses
Aug 19 11:57:20 pppd[1075]: Plugin rp-pppoe.so loaded.
Aug 19 11:57:20 pppd[1075]: RP-PPPoE plugin version 3.3 compiled against pppd 2.4.4
Aug 19 11:57:20 pppd[1075]: pppd 2.4.4 started by intervia, uid 0
Aug 19 11:57:20 dropbear[1077]: Not backgrounding
Aug 19 11:57:24 FileSystem: End check.
Aug 19 11:57:29 wireless: ath0 New Access Point/Cell address:8x:xx:xx:xx:xx:xx
Aug 19 11:57:30 pppd[1075]: PPP session is 37092
Aug 19 11:57:30 pppd[1075]: Using interface ppp0
Aug 19 11:57:30 pppd[1075]: Connect: ppp0 <--> ath0
Aug 19 11:57:32 pppd[1075]: Remote message: Login ok
Aug 19 11:57:32 pppd[1075]: PAP authentication succeeded
Aug 19 11:57:32 pppd[1075]: peer from calling number 4x:xE:0x:x2:6x:4x authorized
Aug 19 11:57:32 pppd[1075]: local IP address 191.x.1xx.xxx
Aug 19 11:57:32 pppd[1075]: remote IP address 1xx.xx.xxx.xxx

Dai bingo com remote ip e local ip ele começa a brincar e a tentar se conectar a outros equipamentos comprometidos dentro da REDE.. e quando reparou já tem toda a sua rede comprometida...

Nota referente ao comentário no meu post anterior "BusyBox"  :Rock: 


O que todos notaram foi que a senha tinha sido alterada, tanto para webif tanto para ssh, isso porque depois do script ser carregado no equipamento, o mesmo alterava os dados.

Porém ninguem se preocupou em descobrir como é que ele tinha entrado, e como ele tinha alterado os dados, e por ultimo como ele se estava espalhando para os outros equipamentos.


Eu cheguei a auxiliar outros provedores que não presto acessoria diretamente, mas que na hora do desespero pediram ajuda.

E eu comprovei,depois de remover o script de um equipamento de teste, apenas alterando usuário e senha unico, portas padrão 80,443,22 por outras portas foi o suficiente para eliminar o zombie de se espalhar na rede para os outros equipamentos.
Enquanto que outros equipamentos com as mesmas portas padrão, usuário e senha foram afetados.

O problema se deu na realidade ao uso de porta padrão 80,443 que estava configurado no script.


A grande verdade é essa, se você utiliza ASN com IP Publico no seu Provedor, e alguém de fora consegue acessar a porta WEB via IP publico do seu equipamento instalado no seu cliente, então você tem um problema de segurança sério.

Dos poucos modem adsl da Oi que trabalhei nunca vi nenhum com Porta 80 WebBrowser aberto por padrão default , onde qualquer pessoa digitando o seu IP publico conseguiria acessar.

Nunca vi nenhum equipamento de fibra da vivo vir com porta padrão 80,443 habilitado para porta WAN com IP publico.


Nunca vi nenhuma ONU fiberhome vir com porta padrão 80,443,22 habilitado para WAN IP publico por configuração padrão.

Isto porque as operadoras mencionadas ou fabricantes utilizam protocolo próprio para se comunicar com os equipamentos, atualizacão de firmware etc.. sem ter que habilitar ou colocar em risco nenhum das portas padrão ou protocolos disponíveis para uso de navegação a internet.


Então eu pergunto porque deixar WAN acesso com IP publico autenticado no cliente com porta padrão? Não faz sentido.

Caso o cliente queira assumir o risco, ele mesmo terá que solicitar, caso contrário tudo acesso WAN webif dos equipamentos deve ser fechado completo, em ultimo caso , se for realmente necessário configurar um ddns URL exclusivo ou IP fixo para acesso remoto, configuravel via IPtables

----------


## FernandoB

Olá...

Salve ao amigo PortaNET, que tem toda razão, só queria completar aqui se me permitem.

O pessoal que vem aqui no fórum reclamar de Ubiquiti e muitas vezes em grupos do Whats e outros lugares teimam em continuar comprando esse LIXO! Olha eu até acho engraçado que a maioria diz que usa UBNT por que MK é muito complicado, tem muita opção, resumindo acabam se declarando amadores e dando o títudo de "Pica da Galáxia" pra quem sabe trabalhar com MK. Leiam o que vocês mesmo vêm escrevendo a praticamente uma década sempre falando mal de UBNT e dizendo que MK é difícil, será que ainda não deu tempo pra entender que é só parar de ser preguiçoso e fazer igual o Saudoso Clóvis de Barros diz 




Senta a bunda na cadeira e estuda ou paga pra alguém que sabe fazer o certo pra você, do contrário vão se passar mais uma década e você ainda vai estar ai falando mau de UBNT e continuando a usar ele. kkkkkkkkkkkkkkkkkkkkkkkk 

Esse povo que vende ubiquiti olha uma promoção incrível e olha a oportunidade de ganhar uma grana as custas da desgraça dos outros, ai compra uma montanha dessas porcarias a preço de banana e faz uma promoção ai manda pro dono do provedor, o cara não sabe contabilizar custo X benefício, esquece de contar o tempo, combustível, stress, desconto de mensalidade e uma porrada de complicações que todo mundo já sabe que essas merdas de UBNT causam o cara na hora de por a mão no bolso só pensa em custo = valor do equipamento e benefício = ??? muita gente pensa, que por ser 5.8 não sei quantos Db de potencia, e não sei mais o quê, acha que é tudo a mesma coisa....porra, a diferença de um UBNT ou qqr outra marca lixo salvo as que tem precedentes pra um MK é astronômica então aprenda de uma vez por todas, se você comprar lixo você vai ter um monte de sujeira pra limpar depois.

----------


## Nielsen

Minha rede tem muito mais RMA em ubiquiti.
Virus somente em ubiquiti
problemas de sinal e lan off somente em ubiquiti
Onde rodo com mk é só alegria.
Desejo a falencia dessa empresa xulera
E nao me venham com essa de lição de casa

----------

