WORM para AIROS da Ubiquiti

[alexandrecorrea]

se o problema das airgrid´s que voce tem nao for fisico (ha um lote com defeito de fabrica, que perde a potencia TX..)

com a versao 5.3.5 ou essa que eu compilei, 5.3.3 com patch aplicado (http://189.84.0.10/ubnt.php) resolve..

[tioruan]

alexandre mas tem como eu saber qual e fisico , porq tem umas q da sinal mas nao conecta

[alexandrecorrea]

sei la.. tenta atualizar o firmware ver margem de sinal.. talvez vc esteja com unidaes do lote defeituoso .. os macs sao os antigos (00:15:6d)

[tioruan]

eu vi e esse lote mesmo qu tenho aqui

[alexandrecorrea]

veja com seu fornecedor... para troca-las

troquei bastante aqui..

[funchh]

vlw pelo post referente a remoção do vírus!! estou fazendo aqui nos da empresa e até agora 100%!!!

[alexandrecorrea]

Aqui tem alguns detalhes de como remover, versões de firmware estáveis ... e como o vírus propaga e infecta sua rede:


https://under-linux.org/f291/procedi...skynet-154682/

[lucianosds]

Os profissionais que sempre frequentaram este espaço, creio que continuam por aqui. A diferença é o nível de dúvidas e postagens que não se manteve. Acho que todos tem o direito de se expressa e nunca vi boicotes aqui, mas infelizmente o fórum está sendo inundado com posts do tipo "Como compartilhar internet usando ADSL e uma RB"? Perguntas desse tipo já foram respondidas no fórum e o site ainda possuem excelentes artigos e tutoriais com essas repostas.
Nada contra quem está começando agora, mas um pouco de pesquisa no arquivo facilita o fluxo de postagens a se manter num nível bacana.

Um exemplo é esta postagem, que ajudou a disseminar a informação sobre o worm e a realizar a contenção em muitos provedores.

[andersonfire]

Caros amigos do fórum,

Ontem, foi descoberto uma falha do sistema operacional (AirOS).
O worm é conhecido como "SKYNET".

As versoes 3.6.1/4.0 (legacy) e todas as 5.x (airmax) estão com vulnerabilidades.


Para saber se estão infectados, tentem abrir a pagina "http://IP_DO_RADIO/admin.cgi" .
Se conseguirem abrir, o radio nao está infectado. O virus renomeia esse arquivo para "adm.cgi".

Para remover o vírus, resete o equipamento para padrao de fabrica ou elimine o script na mao mesmo.

Por SSH:
rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot


Após removido, atualize sua firmware.

Segue o link para as novas firmwares:
Downloads | Ubiquiti Networks, Inc.AIRMAX - versao 5.3.5
LEGACY - versao 4.0.1

Saudações a todos.
Thiago

RESSUSCITANDO O POST
Hoje olhando o fórum fiquei curioso ao ver esse post e resolvi testar e fiz o mencionado no post,ai apareceu uma tela que eu nunca tinha visto vou por o print da tela para o amigo analizar,aqui em minha casa tenho uma airgrid M5 HP 23 dbi

[alexandrecorrea]

essa tela, admin.cgi é uma tela para facilitar algumas coisas, como upload de arquivo, download.. etc !! sem precisar logar no ssh !!

[pardall11]

bom dia para todo auguem ja consegiu editar o campo da senha para caber mais caraquiter porque só 8 caraquiter fica fácil a senha, tem algo para aumentar a seguransa dos nossos rádios ?

[pablometal]

Estou com mais de 3000 rádios para atualizar seu jamie, por uma falta de segurança dos equipamentos ubiquiti, mais um item para colocar no processo.

olá amigos do under-linux,

hoje descobrimos uma vulnerabilidade que podia permitir aos usuários externos acesso administrativo em equipamentos da ubiquiti com airos versão 3/4/5, sem autenticação.

Ao identificar este problema, nós o consertamos rapidamente, e lançamos um firmware atualizado com um patch para essa vulnerabilidade.

Encontra-se o firmware atualizado aqui: downloads | ubiquiti networks, inc.

as versões afetadas:

• produtos 802.11 - airos v3.6.1/v4.0 (versões anteriores não foram afetadas)
• produtos airmax - airos v5.x (todas as versões)

as versões atualizadas (com patch) são:

• v4.0.1 - produtos isp 802.11
• v5.3.5 - produtos isp airmax
• v5.4.5 - firmware para o airsync

recomendamos a quem está com dispositivos de airos que sejam accessíveis publicamente (via http) que atualize o mais rápido possível para prevenir este problema.

Se tiver qualquer outra pergunta ou requer as versões anteriores de firmware, favor entrar em contato conosco ([email protected]). Para ler o anúncio oficial da ubnt, visite: airos security exploit -- updated firmware - ubiquiti networks forum

atenciosamente,
jamie

[regiaraujo]

É pessoal só agora mim atentei para o tamanho do estrago que este falha fez em minha rede, após ter colocado minha ASN para funcionar e repassar IP publicos para meus clientes tive uma grande supresa que nunca imaginaria que fosse deste tamanho, uma parte da minha rede estavam todos equipamentos atualizados com a versão 5.3.5 nesta parte eu não tive problema já em outra foi uma tremenda bagunça tive seguidamente varios equipamentos da linha ubiquit resetados e como não bastavam meus servidores mikrotik tambem foram todos resetados e ate mesmo um servidor Cpanel que tinha foi pro espaço e todos os arquivos e senhas resetadas nunca imaginaria que isso pudesse acontecer de impactar em reset dos sistema mikrotik.

Quem fez alguns ajustes em minha rede foi o propio Alexandre e tinha mim atentado para este problema não dei tanta importancia mas logo depois tive a grande surpresa de inicio imaginei que fosse alguem invadindo meu sistema, mas fica aqui minha dica para quem pensa em implantar ips válidos na rede atualize todos seus equipamentos antes pois nunca tive tanta dor de cabeças como nestes ultimos dias, como alguns aqui dos forum postaram é mesmo fim de mundo, que praga desgraçada.

[alexandrecorrea]

eu sou a favor da "gerencia gerenciada" (rsrsr) ..

so permitir acesso por ips que realmente fazem a gerencia... :P

[clovisjr]

Pra quem precisa saber se ainda tem ubiquiti contaminado
eu postei em outro post,

confiram aki com correção do Alexandre correa

[filzek]

Galera, tem um software bom da Solarwinds de monitoramento e scam completo de rede, de modo a saber tudo que tem MAC ADDRESS rodando na rede, com pontos de saída e origem de trafego, assim, da pra saber tudo que realmente rola na rede, quais equipamentos estão conectados, funciona em layer 1, 2 e 3

[filzek]

http://www.solarwinds.com/network-ma...-software.aspx

[Mr_Dom]

alguem saberia me dizer com ctz, se a v5.5 está protegida contra o WORM ?

[alexandrecorrea]

Mr_dom, sim esta corrigido, mas se vc pegar um radio que esteja infectado e atualizar para 5.5 .. ele vai continuar infectado... portanto, voce precisa remover o virus e DEPOIS atualizar !!

[Mr_Dom]

Mr_dom, sim esta corrigido, mas se vc pegar um radio que esteja infectado e atualizar para 5.5 .. ele vai continuar infectado... portanto, voce precisa remover o virus e DEPOIS atualizar !!

Agradeçido,

Aproveitando a ocasião, como poderia fazer para evitar que os POPs se comuniquem, por que estava olhando as logs, os clientes UBNT de um POP estão contaminando os clientes de outros POP, eu imagino que seria criar uma vLan entre o POP e o nosso server interno aqui (pra evitar de o trafego se espalhar para outros POPs), seria isso ?

Obrigado pela ajuda.