#  > Telecomunicações >  > Ubiquiti >  >  Alerta Novo Worm em CPEs UBNT

## SuporteClinitec

Boa tarde, venho por meio de post alertar os companheiros que utilizam antenas UBNT rodando AirOS versão 5.5.x!

Hj pela manhã percebemos que algumas antenas na versão citada não estavam acessando pela porta HTTP somente via SSH, então
via SSH eu dei o comando ls -la e percebi que essas antenas continham arquivos diferentes, segue print abaixo comparando uma antena não infectada com versão 5.6.x e 3 antenas infectadas com versão 5.5.x:



Recomendo também criar uma regra forward na entrada dos seus links dropando acesso externo a porta ssh (22) com destino ao seu prefixo, e também dropar acesso ao ip do site openwrt.org, pois o worm acessa este site para baixar alguns arquivos necessários para infecção, segue abaixo também um link de um post gringo no fórum da UBNT ensinando a remover o worm:

http://community.ubnt.com/t5/airMAX-...t/false#M54959

Comando que estamos utilizando para remover o worm:

cd /etc/persistent/
rm mf.tar
rm rc.poststart
rm -R .mf
cfgmtd -p /etc/persistent/ -w && reboot

(Atualização) Caso não for possível acessar a sua antena, dando uma mensagem de senha inválida logar com user: mother e senha: fucker, pois o worm támbem altera o usuário da antena.

Após colocar esse comando atualizar a antena para versão 5.6.4 mais rápido possível!

Abraços...

----------


## FANTOXY

Boa Tarde!

Como você procedeu para remoção do Worm na rede?

Alguns Script para rodar nos blocos de IP e fazendo a varredura ?


Aqui temos alguns com esse problema.

----------


## rjardim

na minha rede afetou todos os painéis (16) e umas 400 CPE's

aircontrol não consegue acesso, estamos fazendo tudo manual.

----------


## FANTOXY

Vai uma dica....

Só seguir passo a passo....

=====================================================
This script is used to remove the virus to ubiquiti radios discovered on 05/13/2016 more information at:http://community.ubnt.com/t5/airMAX-...T/td-p/1562940
This script change default port HTTP for 81
The exploit use USER:mother and PASS:fucker try it before your user and pass, in test it's work. This script remove this user.
*
Multiple radios via SSHPASS*You can use a single Linux machine with SSHPASS installed to clear all your network equipment improving the sample script clearmf.sh
Ex: ./clearmf.sh PASS USER NETWORK INITIAL_IP
Or or create a script with the following command
sshpass -p PASS ssh -o StrictHostKeyChecking=no [email protected] "wget -qO-https://raw.githubusercontent.com/di...r/desinfect.sh | sh"
You need install in server SSHPASS

Debian: apt-get install sshpassCentos: yum install sshpass
*
Direct in Radio*You may prefer to run the command only a single radio to this run the following command
wget -qO- https://raw.githubusercontent.com/di...r/desinfect.sh | sh


Fonte: https://github.com/diegocanton/remove_ubnt_mf

----------


## rjardim

Tentei mas não rodou, não consegui instalar o sshpass

Enviado via ASUS_Z00AD usando UnderLinux App

----------


## SuporteClinitec

> Vai uma dica....
> 
> Só seguir passo a passo....
> 
> =====================================================
> This script is used to remove the virus to ubiquiti radios discovered on 05/13/2016 more information at:http://community.ubnt.com/t5/airMAX-...T/td-p/1562940
> This script change default port HTTP for 81
> The exploit use USER:mother and PASS:fucker try it before your user and pass, in test it's work. This script remove this user.
> *
> ...


Obrigado pela contribuição, eu rodei o comando que eu citei acima e depois disso percebi que não loga mais usando o user: mother

----------


## FabianoMartins2

> Boa tarde, venho por meio de post alertar os companheiros que utilizam antenas UBNT rodando AirOS versão 5.5.x!
> 
> Hj pela manhã percebemos que algumas antenas na versão citada não estavam acessando pela porta HTTP somente via SSH, então
> via SSH eu dei o comando ls -la e percebi que essas antenas continham arquivos diferentes, segue print abaixo comparando uma antena não infectada com versão 5.6.x e 3 antenas infectadas com versão 5.5.x:
> 
> 
> 
> Recomendo também criar uma regra forward na entrada dos seus links dropando acesso externo a porta ssh (22) com destino ao seu prefixo, e também dropar acesso ao ip do site openwrt.org, pois o worm acessa este site para baixar alguns arquivos necessários para infecção, segue abaixo também um link de um post gringo no fórum da UBNT ensinando a remover o worm:
> 
> ...


Amigo, nas imagens 3 e 4, onde o firmware é mais antigo e a antena está infectada, você sabe nos dizer o que é o cardlist.txt ?

Abraço.

----------


## FANTOXY

Fonte: https://forum-pt.ubnt.com

=======================================

Houveram vários relatos de dispositivos AirmaxM sendo infectados ao longo da última semana. A partir das amostras que temos visto, há 2-3 variações diferentes. Temos confirmados, pelo menos, duas destas variações. O vírus explora uma vulnerabilidade conhecida que foi relatada e corrigida no ano passado.

Este exploit é um HTTP / HTTPS que não requer autenticação. Basta ter um rádio com uma versão antiga e ter a sua interface http / https exposta à Internet para que a infecção ocorra.

Dispositivos que rodam as seguintes versões de firmware estão OK, contudo recomendamos a atualização para5.6.5, lembrando que os scripts foram desabilitados nesta versão.airMAX M
5.5.11 XM/TI
5.5.10u2 XM
5.6.2+ XM/XW/TI
AirMAX AC
7.1.3+
ToughSwitch
1.3.2
airGateway
1.1.5+
airFiber 
2.2.1+ AF24/AF24HD
3.0.2.1+ AF5x 


Ferramenta para remoção


CureMalware-0.7.jar 



Esta ferramenta requer Java. Ele irá procurar e remover ambas as variantes que temos visto, removê-los (e sua bagagem). Ele tem a opção de atualizar o firmware para 5.6.5.

Uso:

java -jar CureMalware-0.7.jar
Exemplo:

C:\Users\ubnt\Downloads>java -jar CureMalware-0.7.jar
Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices

Copyright 2006-2016, Ubiquiti Networks, Inc. <[email protected]>

This program is proprietary software; you can not redistribute it and/or modify
it without signed agreement with Ubiquiti Networks, Inc.


Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 192.168.1.31
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 3
Enter ssh port [22]:
Enter user name [ubnt]: ubnt
Reuse password <y|n>[y]: y
Processing [email protected]:22 ...
Password for [email protected]:
Checking...
CRITICAL: Infected by exploitim
WARNING: User Script(s) is(are) installed:
/etc/persistent/rc.poststart
Review/remove manually!
Done.
Cleaning...
Done.
IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
Preparing Upgrade...
Done.
Uploading firmware: /firmwares/XM.bin ...
Sending... [%100]
Done.
Upgrading...
Current ver: 329220
New version: 329221
No need to fix.
Writing 'u-boot ' to /dev/mtd0(u-boot ) ... [%100]
Writing 'kernel ' to /dev/mtd2(kernel ) ... [%100]
Writing 'rootfs ' to /dev/mtd3(rootfs ) ... [%100]
Done.
Firmware:
Estamos lançando a release 5.6.5 com as seguintes alterações.


- Novo: o uso de scripts personalizados foi desabilitado
- Novo: syslog habilitado por padrão
- Fix: As atualizações de segurança (scripts de malware verificar e remoção)

http://www.ubnt.com/downloads/XN-fw-...60515.2108.bin
http://www.ubnt.com/downloads/XN-fw-...60515.2119.bin
http://www.ubnt.com/downloads/XN-fw-...60515.2058.bin

----------


## marcell

pessoal bom dia estou com alguns radios sento atacados novamente com virus novo mesmo na versão 5.6.5 ou 5.6.6.
nas atenas setorias os radios dos assinantes ficam com seguinte nome.
HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD.
algumas antenas quando colocamos o ip fica mandando abrir o arquivo.
outras acessamos via puty mais não conseguimos entrar no setup pois a senha foi modificada.

----------


## leandrolopeswifi

Muda a porta ssh padrão !!!! se continuar com porta 22 vai continuar tendo problemas.
refaça todo o procedimento conforme fórum da ubnt explica.
deixe todos os rádio atualizados pra ultima versão de firmware.

----------


## johnicar

aqui ainda nao tinha atualizado todas as antenas, as com firmware abaixo do 5.6.2 trocou a senha e desabilitou o ssh, so indo no cliente para resetar, so que estao navegando .

----------


## marcell

fiz o procedimento no ultimo ataque deixei todas as antenas dos clientes com ssh desabilitado e mesmo assim o vírus entrou dessa vez.

----------


## mgpmaringa

Boa tarde Marcell , conseguiu resolver, estou com um amigo desesperado, ele vai no cliente reseta , atualiza , configura novamente , porem fica caindo o pppoe cada minuto, vc teria alguma dica para ele, desde já muito obrigado.

----------


## jcmaster85

Tambem cai na besteira de não atualizar todas e estou com umas 100 com esse mesmo problema a grande maioria com 5.6.4, ssh desativado ou porta alterada e http e https voce coloca a senha na pagina porem ela so atualiza e volta do mesmo jeito como se não tivesse feito nada, todos navegam porem alguns relatam que fica caindo e voltando e assim estamos atualizando conforme a demanda, se alguem tiver uma solução remoto por favor postar pois todos estamos indo na casa do assinante.

----------


## marcell

não tenho muita solução só mesmo atualizando mais descobrir que algumas antenas ficam caindo quando usa a potencia máxima. diminui 1db que ela estabiliza a conexão.

----------


## simakwm

Em nosso provedor criamos uma versão customizada do firmware, então mudei os nomes dos scripts personalizados que o vírus utiliza pra poder funcionar. Nem esse nem outro vírus vai poder ir muito longe dessa forma.

----------


## FANTOXY

> Em nosso provedor criamos uma versão customizada do firmware, então mudei os nomes dos scripts personalizados que o vírus utiliza pra poder funcionar. Nem esse nem outro vírus vai poder ir muito longe dessa forma.


Regras de firewall?

Enviado via MotoE2(4G-LTE) usando UnderLinux App

----------


## simakwm

> Regras de firewall?


Dentro do equipamento? Não.
O que quis dizer é que se um vírus conseguir criar um rc.poststart, ou rc.presysinit, etc, o nano irá ignorar esses arquivos. Ele irá procurar por outros nomes de script.

----------

