Alerta de vírus ubnt 6.0.3 e descaso da ubnt

[PortaNET]

Boas...

Sem me pronunciar muito, para não sair do contexto do tema, confesso que li quase todas as 2x páginas deste tópico, onde no mesmo eu li e reli imensas atrocidades de pessoas com, phd´s, doutorados, mestrados etc.etc.etc....

Enfim, dou acessoria para empresas com mais de 4mil antenas em concetradores PPPOE , 99% tem AS com blocos de IPs publicos, e mesmo com NAT ou não, nenhum foi afetado.

Não existe mistério, nem mágica tudo se resume a um único quesito "segurança" isso mesmo segurança de rede.

Óbvio tenho mais de uma dezena de anos brincando com linux e firewall o que me deu 90% do quesito conhecimento para estruturar uma rede com os minimos quesitos de segurança.

quero confessar sem tentar ofender ninguém pois todos temos o direito de lutar e conquistar o nosso espaço.

Porém no Brasil hoje vemos a banalidade "gato" com ou sem outorga, optando por preço ao invés de qualidade.

Existem centenas de milhares de provedores de internet maioria ilegal ainda compartilhando o "gato" da ADSL com os 100 vizinhos no Bairro, isto porque deu conta de entrar no "youtube" e viu um video de 4 cliques para ligar um cabo via DHCP LAN do roteador adsl para a RB450, isto porque o video mais complicado de botar o modem adsl em Bridge e autenticar PPPOE WAN na RB450 com balanceamento já é mais avançado.


Existem milhares de provedores legalizados com outorga, que compra o mesmo equipamento, porque o outro provedor na região também compra e vende, como já tem as configs e os scripts prontos é só configurar igual. Ou seja porque é simples e prático.

Existem centenas de provedores legalizados que planejam investem $$$ e se estruturam em aprendizado, instrução e conhecimento para "começar a pensar Outside the box" Aqueles que sabem que nem tudo é o que parece ser.

O problema é que muitos provedores de internet hoje ainda procuram "e claro não é por culpa deles, pois eles mesmo não tem conhecimento" mas a grande realidade é que maioria dos Provedores de Internet procuram o famoso TI aka "also known as" Serviços Gerais.
Sempre com a mesma conversa de agregar valor a empresa... um verdadeiro faz de tudo um pouco. Ou seja um verdadeiro carro FLEX nem é bom para uma coisa nem é bom para outra...



1- nunca existiu nem existe malware ou virus como se é chamado, quem realmente colocou as mãos no código como eu decompilei e analisei os que realmente entederam irão ver que nada mais é que um SCRIPT isso mesmo coisa comum no mundo linux. onde o mesmo explorava algumas vulnerabilidades no sistema.
Não adiantava ter uma senha padrão ou senha curta ou senha grande, a vulnerabilidade no exploit estava la que permitia carregar por GCI uma chave RSA ssh.. diferente onde essa chave continha a senha famosa entre outras coisas...


1- Já alguém se preocupou em analisar que tipo de sistema operativo funciona nos equipamentos ubiquiti ? Caso não tenham percebido é uma vertente Linux, tanto que alguns modelos antigos de produtos ubiquiti funcionam com firmware openWRT.. existem até umas placas novas de produtos ubiquiti sendo vendido com acesso ao código fonte linux para os interessados desenvolverem.


2- O iptables está la porque não tentar entender como funciona?


3- Por ultimo Filtrar vários Gbps de trafego em tempo Real ????? Simples não é fácil, mas também não é impossivel.


4- Também não é preciso filtrar o trafego para bloquear um script, que simplesmente poderia ter sido bloqueado com outros mecanismos de segurança... e não estou falando de equipamentos caros CISCO ou juniper....

5- 80% dos problemas se resolvem trocando portas padrão, desabilitando protocolos não utilizados nos equipamentos em uso diário, e claro gerar um certificado SSL para o ssh e para serviços Web, Senhas únicas para cada cliente acesso web... sei lá coisa do tipo oi adsl pppoe autenticador telf numero, ou alguns digitos unicos que identifiquem o cliente ou outro documento..

6- os outros 20% da proteção é feita com firewall.. existem inúmeras variantes para linux, ou até um safeBGP.

7- outro erro comum "ohhh vou usar firmware versão licenciada da pqp na torre" e vou instalar a ultima versão de firmware ou até uma mais antiga no cliente.. onde as correcões de bug são incompatíveis da rocket para a antena do cliente.. e depois se queixam que fica lento que trava do nada.. resumindo rocket com 5.6x e antena do cliente com 6.xx "ai não tem nem como tirar base para falar" o equipamento não presta, trava , perde pacotes, etc.etc.etc. sem pensar que pode estar ocorrendo problema de incompatibilidade ou os bugs não estarem corrigidos na versão da rocket que distribui o sinal dando problema para os clientes que estão com a versão totalmente diferente.

8- Erro comum da porra , cliente solicita o provedor para liberar a porta xxxyy na antena porque ele tem uma camera IP em casa onde ele quer acessar remoto no serviço dai o açogueiro que vai prestar o serviço não dá conta de efetuar um Port Forwarding no IP lan + porta especifica da Camera ou DVR.. dá um "buffer overflow" no cerebro dai vem a luz no fundo do tunel no pensamento "DMZ" Bingo problema resolvido.. quando dá conta o cliente tá ligando reclamado que foi hackeado ou sendo atacado , porque o acogueiro que não sabia criar uma regra simples para liberar uma unica Porta para um unico IP especifico, liberou o DMZ no equipamento colocando "Totalmente Fora da rede de proteção do firewall" o IP especifico da sua camera IP ou DVR..deixando assim todas as portas abertas naquela máquina na rede local "abrindo brecha para um bom exploit script" carregar e depois comecar a atacar ou saquear informacões de todos os outros computadores na rede.
Bom e por ai vai com outros periféricos ou tipo de equipamento


Bom o que eu quero resumir é simples "Segurança" e um bom conhecimento de Rede


DCHP e Pools ranges, discador PPPOE, balancemaneto de carga, todos sabem fazer e proteção na rede?

a Mesma coisa ocorre no dia a dia com Mikrotik "Tem muita função em um só equipamento" Dai o açogueiro vai e carrega a CCRxxxxx com tanta funcão e script, firewall, pppoe, bgp... dai com 500 clientes tá torrando processador "isso claro porque a grande maioria não sabe balancear a carga nos núcleos e dai quando verifica só tem um processador travado em 100%.


Resumindo cada macaco no seu galho..... um equipamento especifico para segurança, um equipamento especifico para link, um equipamento especifico para PPPOE autenticacão, um equipamento especifico para BGP, e por ai vai.

E claro "Contrate um técnico para cada área especifica no seu provedor" só assim irá conseguir se organizar e crescer corretamente.

Um faz de tudo por mais vontade que tenha, não dá conta nem tem tempo de se preparar para gerenciar tudo ao mesmo tempo, é igual ao meu comentário anterior.. Carro Flex

não é uma coisa nem outra, e infelizmente todo o conhecimento tem o seu preço.


Não querendo criticar ninguém mais uma vez repito, todos tem o direito de prosperar e tentar a sua sorte, apesar de sorte não ser um dos quesitos necessários para montar um provedor de internet. isso boa "Sorte.....conhecimento" a todos.

Agora se perderam acesso ao equipamento o mais adequado e full factory reset, subir telhado por telhado e resetar e limpar potenciais scripts que tenham ficado de algum firmware antigo rodando o script na rede ele consegue mapear os outros equipamentos.

[PortaNET]

O modo que o @rpassistencia faz na sua rede esta correto faço assim tb isto segura vamos dizer 99% contra falha
ele simplesmente separa a rede de gerencia dos ips publicos e faz um drop na rede privada não deixando ambas se comunicar
conversamos durante horas no skype ambos queria falar a mesma coisa porém diferente

ai vcs pode me perguntar deste 1% é simples vamos supor que a ubnt em questão deixa uma falha de segurança deixando o gerenciamento por qualquer vlan ou pppoe
ai todo trabalho nosso em isolar o gerenciamento da conexão não vai servir pra nada
ex: o ip de gerencia do ubnt vai ser la 192.168.0.44 o ip do pppoe 200.100.10.2 entao unico ip que acessa as configurações ssh etc é o 192.168.0.44 mais por falha de segurança ele deixou acessar pelo 200.100.10.2 ai ferrou é isto que me refiro que firewall não segura tudo

Hummm confesso que fiquei confuso....quem deixou o serviço Webif habilitado para a WAN IP publico? quem deixou a porta padrão 80 e https 443 padrão, quem deixou a porta ssh padrão habilitada?

Por ultimo quem falou que o script é executando usando o serviço SSH? A não ser que eu tenha analisado um script totalmente diferente...

O script que eu analisei e confirmo, ele mapeava na rede IP publicoorta padrão/cgi/xxxx
devido ao uso da porta padrão web tomando vantagem do bug no CGI ele tinha acesso ao equipamento ubiquiti sem necessitar sequer saber o usuário ou senha, uma vez penetrado pelo bug CGI, o mesmo começava o modo Zombie, verificava todos os outros equipamentos na mesma rede através do log do sistema da antena.

Lembrando que isso foi possível porque existia uma função no firmware denominada de Custom Scripts, onde foi possível desenvolver um script com funções customizadas para serem executados dentro do equipamento ou seja dando uma liberdade maior para ampliarmos as funcionalidades do equipamento. Porém foi também o grande tendão de Aquiles.


Aug 19 11:57:18 system: Start
Aug 19 11:57:18 syslogd started: BusyBox v1.11.2
Aug 19 11:57:19 FileSystem: Start check...
Aug 19 11:57:20 dnsmasq[1076]: started, version 2.47 cachesize 150
Aug 19 11:57:20 dnsmasq[1076]: compile time options: IPv6 GNU-getopt no-DBus no-I18N TFTP
Aug 19 11:57:20 dnsmasq[1076]: DHCP, IP range 1xx.xxx.xxx.xxx -- 1xx.xxx.xxx.xxx, lease time 10m
Aug 19 11:57:20 dnsmasq[1076]: no servers found in /etc/resolv.conf, will retry
Aug 19 11:57:20 dnsmasq[1076]: read /etc/hosts - 1 addresses
Aug 19 11:57:20 pppd[1075]: Plugin rp-pppoe.so loaded.
Aug 19 11:57:20 pppd[1075]: RP-PPPoE plugin version 3.3 compiled against pppd 2.4.4
Aug 19 11:57:20 pppd[1075]: pppd 2.4.4 started by intervia, uid 0
Aug 19 11:57:20 dropbear[1077]: Not backgrounding
Aug 19 11:57:24 FileSystem: End check.
Aug 19 11:57:29 wireless: ath0 New Access Point/Cell address:8x:xx:xx:xx:xx:xx
Aug 19 11:57:30 pppd[1075]: PPP session is 37092
Aug 19 11:57:30 pppd[1075]: Using interface ppp0
Aug 19 11:57:30 pppd[1075]: Connect: ppp0 <--> ath0
Aug 19 11:57:32 pppd[1075]: Remote message: Login ok
Aug 19 11:57:32 pppd[1075]: PAP authentication succeeded
Aug 19 11:57:32 pppd[1075]: peer from calling number 4x:xE:0x:x2:6x:4x authorized
Aug 19 11:57:32 pppd[1075]: local IP address 191.x.1xx.xxx
Aug 19 11:57:32 pppd[1075]: remote IP address 1xx.xx.xxx.xxx

Dai bingo com remote ip e local ip ele começa a brincar e a tentar se conectar a outros equipamentos comprometidos dentro da REDE.. e quando reparou já tem toda a sua rede comprometida...

Nota referente ao comentário no meu post anterior "BusyBox"


O que todos notaram foi que a senha tinha sido alterada, tanto para webif tanto para ssh, isso porque depois do script ser carregado no equipamento, o mesmo alterava os dados.

Porém ninguem se preocupou em descobrir como é que ele tinha entrado, e como ele tinha alterado os dados, e por ultimo como ele se estava espalhando para os outros equipamentos.


Eu cheguei a auxiliar outros provedores que não presto acessoria diretamente, mas que na hora do desespero pediram ajuda.

E eu comprovei,depois de remover o script de um equipamento de teste, apenas alterando usuário e senha unico, portas padrão 80,443,22 por outras portas foi o suficiente para eliminar o zombie de se espalhar na rede para os outros equipamentos.
Enquanto que outros equipamentos com as mesmas portas padrão, usuário e senha foram afetados.

O problema se deu na realidade ao uso de porta padrão 80,443 que estava configurado no script.


A grande verdade é essa, se você utiliza ASN com IP Publico no seu Provedor, e alguém de fora consegue acessar a porta WEB via IP publico do seu equipamento instalado no seu cliente, então você tem um problema de segurança sério.

Dos poucos modem adsl da Oi que trabalhei nunca vi nenhum com Porta 80 WebBrowser aberto por padrão default , onde qualquer pessoa digitando o seu IP publico conseguiria acessar.

Nunca vi nenhum equipamento de fibra da vivo vir com porta padrão 80,443 habilitado para porta WAN com IP publico.


Nunca vi nenhuma ONU fiberhome vir com porta padrão 80,443,22 habilitado para WAN IP publico por configuração padrão.

Isto porque as operadoras mencionadas ou fabricantes utilizam protocolo próprio para se comunicar com os equipamentos, atualizacão de firmware etc.. sem ter que habilitar ou colocar em risco nenhum das portas padrão ou protocolos disponíveis para uso de navegação a internet.


Então eu pergunto porque deixar WAN acesso com IP publico autenticado no cliente com porta padrão? Não faz sentido.

Caso o cliente queira assumir o risco, ele mesmo terá que solicitar, caso contrário tudo acesso WAN webif dos equipamentos deve ser fechado completo, em ultimo caso , se for realmente necessário configurar um ddns URL exclusivo ou IP fixo para acesso remoto, configuravel via IPtables

[FernandoB]

Olá...

Salve ao amigo PortaNET, que tem toda razão, só queria completar aqui se me permitem.

O pessoal que vem aqui no fórum reclamar de Ubiquiti e muitas vezes em grupos do Whats e outros lugares teimam em continuar comprando esse LIXO! Olha eu até acho engraçado que a maioria diz que usa UBNT por que MK é muito complicado, tem muita opção, resumindo acabam se declarando amadores e dando o títudo de "Pica da Galáxia" pra quem sabe trabalhar com MK. Leiam o que vocês mesmo vêm escrevendo a praticamente uma década sempre falando mal de UBNT e dizendo que MK é difícil, será que ainda não deu tempo pra entender que é só parar de ser preguiçoso e fazer igual o Saudoso Clóvis de Barros diz



Senta a bunda na cadeira e estuda ou paga pra alguém que sabe fazer o certo pra você, do contrário vão se passar mais uma década e você ainda vai estar ai falando mau de UBNT e continuando a usar ele. kkkkkkkkkkkkkkkkkkkkkkkk

Esse povo que vende ubiquiti olha uma promoção incrível e olha a oportunidade de ganhar uma grana as custas da desgraça dos outros, ai compra uma montanha dessas porcarias a preço de banana e faz uma promoção ai manda pro dono do provedor, o cara não sabe contabilizar custo X benefício, esquece de contar o tempo, combustível, stress, desconto de mensalidade e uma porrada de complicações que todo mundo já sabe que essas merdas de UBNT causam o cara na hora de por a mão no bolso só pensa em custo = valor do equipamento e benefício = ??? muita gente pensa, que por ser 5.8 não sei quantos Db de potencia, e não sei mais o quê, acha que é tudo a mesma coisa....porra, a diferença de um UBNT ou qqr outra marca lixo salvo as que tem precedentes pra um MK é astronômica então aprenda de uma vez por todas, se você comprar lixo você vai ter um monte de sujeira pra limpar depois.

[Nielsen]

Minha rede tem muito mais RMA em ubiquiti.
Virus somente em ubiquiti
problemas de sinal e lan off somente em ubiquiti
Onde rodo com mk é só alegria.
Desejo a falencia dessa empresa xulera
E nao me venham com essa de lição de casa