WORM para AIROS da Ubiquiti
Caros amigos do fórum,
Ontem, foi descoberto uma falha do sistema operacional (AirOS).
O worm é conhecido como "SKYNET".
As versoes 3.6.1/4.0 (legacy) e todas as 5.x (airmax) estão com vulnerabilidades.
Para saber se estão infectados, tentem abrir a pagina "http://IP_DO_RADIO/admin.cgi" .
Se conseguirem abrir, o radio nao está infectado. O virus renomeia esse arquivo para "adm.cgi".
Para remover o vírus, resete o equipamento para padrao de fabrica ou elimine o script na mao mesmo.
Por SSH:
rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot
Após removido, atualize sua firmware.
Segue o link para as novas firmwares:
http://www.ubnt.com/support/downloads
AIRMAX - versao 5.3.5
LEGACY - versao 4.0.1
Saudações a todos.
Thiago
Re: WORM para AIROS da Ubiquiti
Opa, ja estou verificando meus radios, mas havia ocorrido isto com firmware dos radios da oiwtech
Re: WORM para AIROS da Ubiquiti
Só o que faltava mesmo... agora teremos que nos preocupar com tudo que é firmware de roteadores WiFi.
Obrigado pela dica GrayFox.
Re: WORM para AIROS da Ubiquiti
Tem alguma informação de como entrou?
Essas interfaces web são um problema... sempre estão botando dados sem filtrar...
Re: WORM para AIROS da Ubiquiti
Olá Amigos do Under-Linux,
Hoje descobrimos uma vulnerabilidade que podia permitir aos usuários externos acesso administrativo em equipamentos da Ubiquiti com AirOS versão 3/4/5, sem autenticação.
Ao identificar este problema, nós o consertamos rapidamente, e lançamos um firmware atualizado com um patch para essa vulnerabilidade.
Encontra-se o firmware atualizado aqui: Downloads | Ubiquiti Networks, Inc.
As versões afetadas:
- Produtos 802.11 - AirOS v3.6.1/v4.0 (versões anteriores não foram afetadas)
- Produtos AirMax - AirOS v5.x (todas as versões)
As versões atualizadas (com patch) são:
- v4.0.1 - Produtos ISP 802.11
- v5.3.5 - Produtos ISP AirMax
- v5.4.5 - Firmware para o AirSync
Recomendamos a quem está com dispositivos de AirOS que sejam accessíveis publicamente (via HTTP) que atualize o mais rápido possível para prevenir este problema.
Se tiver qualquer outra pergunta ou requer as versões anteriores de firmware, favor entrar em contato conosco ([email protected]). Para ler o anúncio oficial da UBNT, visite: AirOS Security Exploit -- Updated Firmware - Ubiquiti Networks Forum
Atenciosamente,
Jamie
Re: WORM para AIROS da Ubiquiti
Valeu Grayfox, Higley e demais amigos do fórum. Isso sim uma informação de relevância. Agora é avisar a equipe e começar as atualizações.
O link correto para o post do fórum oficial da Ubiquity está aqui.
Re: WORM para AIROS da Ubiquiti
Jamie, saberia informar qual o comportamento do exploit, o que ele tenta fazer?
Citação:
Postado originalmente por
higley
Olá Amigos do Under-Linux,
Hoje descobrimos uma vulnerabilidade que podia permitir aos usuários externos acesso administrativo em equipamentos da Ubiquiti com AirOS versão 3/4/5, sem autenticação.
Ao identificar este problema, nós o consertamos rapidamente, e lançamos um firmware atualizado com um patch para essa vulnerabilidade.
Encontra-se o firmware atualizado aqui:
Downloads | Ubiquiti Networks, Inc.
As versões afetadas:
- Produtos 802.11 - AirOS v3.6.1/v4.0 (versões anteriores não foram afetadas)
- Produtos AirMax - AirOS v5.x (todas as versões)
As versões atualizadas (com patch) são:
- v4.0.1 - Produtos ISP 802.11
- v5.3.5 - Produtos ISP AirMax
- v5.4.5 - Firmware para o AirSync
Recomendamos a quem está com dispositivos de AirOS que sejam accessíveis publicamente (via HTTP) que atualize o mais rápido possível para prevenir este problema.
Se tiver qualquer outra pergunta ou requer as versões anteriores de firmware, favor entrar em contato conosco (
[email protected]). Para ler o anúncio oficial da UBNT, visite:
AirOS Security Exploit -- Updated Firmware - Ubiquiti Networks Forum
Atenciosamente,
Jamie
Re: WORM para AIROS da Ubiquiti
sim o que este worm faz ,tive um problema e tive que resetar 6 equipamentos e reconfigurar esta semana achei que foi problema das chuvas.
este virus infecta por rede
Re: WORM para AIROS da Ubiquiti
e o que faltava passar o natal reconfigurando aps .
Re: WORM para AIROS da Ubiquiti
regra basica: nao permitir conexoes porta 1 ate 1024 para a rede dos clientes.. ja resolve 90% do problema :P
Re: WORM para AIROS da Ubiquiti
pior airos e linux ,omundo não passa de 2012 .arrependei vos infieis ....
Re: WORM para AIROS da Ubiquiti
essa bosta de airOS ta bugado D+, o sistema de autenticação deles tem problemas e não é de hoje, demorou para aparecer a falha...
quer testar outro bug ?
configure seu ap com uma senha maior que 8 caracteres..
na hora do login, digite apenas 8 caracteres da senha.. e... logged in !! tanto web quanto ssh ..
conseguiram até estragar o sistema de login do linux ...
ai quando voce reporta um erro dessa magnitude... te respondem que isso será corrigido na versao 5.5 !! e antes disso ? fica com problema ?
onde consigo, estou colocand radio licenciado.. tirando essas porcaria da ubiquiti e mikrotik (que não perde de longe da ubiquiti em sistema 'beta forever').
ainda vaia ubiquiti fazer o EdgeOS ? estão ficando louco que vou deixar meus roteadores bgp na mão deles.. que não dão conta de manter um sisteminha de 6~8mb seguro...
Re: WORM para AIROS da Ubiquiti
e bom que existem pessoas igual voce que estão acima da media alexandre e que estão aqui para ajudar e que entendem realmente de linux e os problemas .quando aconteceu todo aquele rolo eu fiquei meio chateado com voce mas eu estou engatinhando e sou orgulhoso por isso brigo e falo o que não devo mas isso que voce falou agora e de quem realmente entende.
eu so sou pretencioso.
Re: WORM para AIROS da Ubiquiti
Citação:
Postado originalmente por
naldo864
pior airos e linux ,omundo não passa de 2012 .arrependei vos infieis ....
Devemos atualizar para o firmware Maia!
Re: WORM para AIROS da Ubiquiti
Bom, o importante é que agora todos estão cientes.
Bom natal a todos e um bom ano novo!
Saudações,
Re: WORM para AIROS da Ubiquiti
Citação:
Postado originalmente por
alexandrecorrea
essa bosta de airOS ta bugado D+, o sistema de autenticação deles tem problemas e não é de hoje, demorou para aparecer a falha...
quer testar outro bug ?
configure seu ap com uma senha maior que 8 caracteres..
na hora do login, digite apenas 8 caracteres da senha.. e... logged in !! tanto web quanto ssh ..
conseguiram até estragar o sistema de login do linux ...
ai quando voce reporta um erro dessa magnitude... te respondem que isso será corrigido na versao 5.5 !! e antes disso ? fica com problema ?
onde consigo, estou colocand radio licenciado.. tirando essas porcaria da ubiquiti e mikrotik (que não perde de longe da ubiquiti em sistema 'beta forever').
ainda vaia ubiquiti fazer o EdgeOS ? estão ficando louco que vou deixar meus roteadores bgp na mão deles.. que não dão conta de manter um sisteminha de 6~8mb seguro...
eu, alem de pouco conhecimento para fazer uma avalicao competente desse tipo de solucao, fikei sabendo disso essa madrugada.
eh o seguinte: tem um conhecido q tem um conhecido q usa cisco com um OS desse lugar:
http://www.dd-wrt.com/site/index
serah q existe nesse mesmo site opcoes para nos ubiquiteiros?
serah q vc e demais experts teriam como avaliar isso?
Re: WORM para AIROS da Ubiquiti
Citação:
Postado originalmente por
Pradela
eu, alem de pouco conhecimento para fazer uma avalicao competente desse tipo de solucao, fikei sabendo disso essa madrugada.
eh o seguinte: tem um conhecido q tem um conhecido q usa cisco com um OS desse lugar:
http://www.dd-wrt.com/site/index
serah q existe nesse mesmo site opcoes para nos ubiquiteiros?
serah q vc e demais experts teriam como avaliar isso?
Existe sim, hoje vc consegue colocar o dd-wrt na maioria dos rádios 2.4ghz da Ubiquiti, um exemplo é a RouterStation Pro que vem o sistema...
Vírus: Worm para AirOS Ubiquiti
Foi constatado nesta Quarta Feira 21/12/2012, que o sistema AirOS da empresa Ubiquiti com as versões 3.6.1/4.0 (Legacy) e todas as 5.x (Airmax) podem conter uma vulnerabilidade considerada grave.
Siga os passos abaixo para saber se o seu equipamento contém o vírus (WORM: SKYNET).
Abra a página: HTTP://IP_DO_RADIO/admin.cgi
Se a página abrir é sinal de que o equipamento não está infectado. O vírus renomeia este arquivo para “adm.cgi”.
Remoção:
Resete o equipamento para os padrões de fábrica ou elimine o script manualmente.
Via SSH:
rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot
Após a remoação, actualize o firmware do seu equipamento.
http://www.ubnt.com/support/downloads
AIRMAX – versão 5.3.5
LEGACY – versão 4.0.1
Fonte: GrayFox
Re: WORM para AIROS da Ubiquiti
Negativo Ricardo,
O que vem com routerstation é o "OPEN-WRT".
O DD-WRT é pago.
O AirOS da ubiquiti é baseado em cima do open-wrt.
Citação:
Postado originalmente por
ricardowireless
Existe sim, hoje vc consegue colocar o dd-wrt na maioria dos rádios 2.4ghz da Ubiquiti, um exemplo é a RouterStation Pro que vem o sistema...
Re: WORM para AIROS da Ubiquiti
Citação:
Postado originalmente por
GrayFox
Negativo Ricardo,
O que vem com routerstation é o "OPEN-WRT".
O DD-WRT é pago.
O AirOS da ubiquiti é baseado em cima do open-wrt.
Nem toda versão do DD-WRT é paga, só as de uso específico (e com mais funcionalidades).