WORM para AIROS da Ubiquiti

[filzek]

o QUE SERA QUE ESSE VIRUZ FAZ???

[GrayFox]

Pode mostrar um link para baixar a firmware dd-wrt?

Saudações,

[GrayFox]

Achei essa aqui:
Other Downloads | www.dd-wrt.com

[Bender]

Ainda bem que só uso mikrotik e estou seguindo o mesmo caminho do alexandre migrando para licenciados.. Poucos UBNT que tinha já retirei.. Quando a ubiquiti fizer um hardware que preste e um OS que tenha segurança eu talvez volte a usar. Enquanto isso fico só no mikrotik Bug OS. Que já é um problema em nossas vidas. rsrsrsrs.
Boa sorte a todos.

[ricardowireless]

Desculpe, houve um engando quanto ao Sistema da Routerstation Pro, realmente é o Open, porem não deixa de ser possível a instalação do dd-wrt nos equipamentos:

DD-WRT Forum :: View Forum - Ubiquiti Devices

[m4d3]

Recebi por e-mail e estou repassando a comunidade, se alguém encontrar essa praga em seus equipamentos e quiser postar os testes que tiver feito com o mesmo seria interessante, assim como outro dia havia infecção do sistema dos rádios OIW que ainda esperamos uma solução, a preocupação é grande em ver que essa ''moda" parece estar se espalhando.

Worm infecta Ubiquiti AirOS

Foi constatado nesta Quarta Feira 21/12/2012, que o sistema AirOS da empresa Ubiquiti com as versões:

3.6.1
4.0 (Legacy)
5.x (Airmax) todas

Podem conter uma vulnerabilidade considerada grave.

Siga os passos abaixo para saber se o seu equipamento contém o vírus (WORM: SKYNET).

Abra a página: HTTP://IP_DO_RADIO/admin.cgi
Se a página abrir é sinal de que o equipamento não está infectado. O vírus renomeia este arquivo para “adm.cgi”.

Remoção:
Resete o equipamento para os padrões de fábrica ou elimine o script manualmente.

Via SSH:
rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot

Após a remoação, atualize o firmware do seu equipamento.

AIRMAX – versão 5.3.5
LEGACY – versão 4.0.1

Fonte: GrayFox

Abraço a todos

[Roberto21]

Olá Luciano, boa noite!

Caso não tenha sido infectado o aparelho, a atualização ''blinda'' ?

[peritinaicos]

Amigo m4d3, saberia dizer com pego esse vírus e o que faz? (aqui todos abriram normalmente)...

[pardall11]

fis us teste com alguns rádios mesmos com o firmware anfiga a aparece tb qual seria o sintoma deste viros ex ele tb pede logim e senha com o firmware XS5.ar2313.v3.5.4476.091013.1757.

sera que é um virós ou um comando interno esta tela aparece com uma nano m5 com o

Firmware Version:

XM.v5.3 resetada de fabrica .

esta nano é zero não foi para cliente retirei da cacha e fis o teste para ver somente com login e senha ubnt ubnt (Abra a página: http://192.168.1.20/admin.cgi).
qualseia o sintomas que este virós apresenta na rede ou com o radio ?

[COLOR=#fafafa !important]

[/COLOR]

http://www.google.com/uds/css/small-logo.png

[leonardolinux]

Bom dia, a todos, pois fica a duvida, como estes equipamentos estão sendo infectados???
Pode ser algum tipo de injeção de codigo, ou websploit???
Mas igual agradeço a grande ajuda que o m4d3 deu..

abraços

[victormota]

A informação abaixo é de extrema importância e deve ser repassada aos usuários dos produtos Ubiquiti.

Abaixo seguem as explicações da Ubiquiti sobre a vulnerabilidade encontrada dos firmwares AirOs e a solução do problema:

---

21/12/2011

ATENÇÃO: Vulnerabilidade no Firmware AirOS Ubiquiti

Hoje descobrimos uma vulnerabilidade que podia permitir aos usuários externos acesso administrativo aos equipamentos da Ubiquiti com AirOS versão 3/4/5, sem autenticação.

Ao identificar este problema, nós o consertamos rapidamente, e lançamos um firmware atualizado com um patch para essa vulnerabilidade.

Encontra-se o firmware atualizado aqui: http://ubnt.com/support/downloads

As versões afetadas:
· Produtos 802.11 - AirOS v3.6.1/v4.0 (versões anteriores não foram afetadas)
· Produtos AirMax - AirOS v5.x (todas as versões)

As versões atualizadas (com patch) são:
· v4.0.1 - Produtos ISP 802.11
· v5.3.5 - Produtos ISP AirMax
· v5.4.5 - Firmware para o AirSync

http://www.ubnt.com/support/downloads

Recomendamos a quem está com dispositivos de AirOS que sejam accessíveis publicamente (via HTTP) que atualize o mais rápido possível para prevenir este problema. Se tiver qualquer outra pergunta ou requer as versões anteriores de firmware, favor entrar em contato conosco ([email protected]).

---

Há duas coisas para serem mencionadas sobre a vulnerabilidade:
1. Uma vulnerabilidade com o servidor HTTP, que permite acesso aos usuários externos (sem autenticação) e executar comandos.
2. Um worm que se aproveita daquilo mencionado anteriormente (#1) para se espalhar

O novo firmware previne #1 que consequentemente previne #2.

Se o worm já se manifestou, ele fará o seguinte:
1. Renomear admin.cgi para adm.cgi (pode-se checar no navegador depois de autenticar-se)
2. Criar um startup script no diretório /etc/persistent (pode-se checar isso ao executar ls -la /etc/persistent e procurar por .skynet)

Estamos terminando um patch agora que remove o worm, mas no entanto, siga abaixo as instruções para removê-lo manualmente:
1. Entrar no dispositivo via SSH
2. cd /etc/persistent
3. rm rc.poststart
4. rm -rf .skynet
5. cfgmtd -w -p /etc/
6. Reiniciar

[victormota]

Isso não garante que o worm não voltará, vai precisar do firmware atualizado para preveni-lo.

Se os dispositivos já foram atingidos pelo worm, pode-se realizar um conserto em massa por meio do AirControl:

http://ubnt.com/wiki/AirControl#Exec...ice_Operations

1. No AirControl, selecione os dispositivos para serem consertos
2. Clique direito, e selecione 'Tasks/Operations'
3. Escolhe 'Execute Command'
4. No campo de comandos, digita "rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;" -- sem aspas
5. Clique 'Done'

Fonte: http://www.ubnt.com/forum/showthread...875#post236875

[higley]

Jamie, saberia informar qual o comportamento do exploit, o que ele tenta fazer?

Essas informações já foram publicadas no fórum oficial da Ubiquiti, para quem não saiba ainda, a Ubiquiti lançou um fórum destinado aos usuários do Brasil e encontra-se aqui: Vulnerabilidade de AirOS - Ubiquiti Networks Forum (o tópico oficial sobre a vulnerabilidade).

Obrigado a Victor Mota por relatar essas informações aqui.

Abraços a todos,
Jamie

[allac]

Muita gente ai falando mal de Ubquiti e Mikrotik ...


Nossa como eu sou grato por existirem esses equipamentos, e poder ter construído meu provedor.


E acho ótimo, que exista uma comunidade em volta desses equipamentos, melhorando cada vez mais o sistema dele. Mesmo que de vez em quando, cause algum transtorno, como esse em questão.

E as varias versões do mikrotik é a coisa mais maravilhosa ainda, porque estão melhorando tudo a cada dia.


E esse tal de cisco ... esse ai não quero papo não. Muito metido

[alexandrecorrea]

allac, concordo e não tiro o merito deles..

o problema eh obrigarem a atualizar para uma versao que esta dando mto problema ... poderiam simplesmente colocar patch e deixar os binarios para download.. sem forçar migrar de versão..

vi gente reportando que com a 5.3.5 upload nao passa de 1mb .. com a 5.2.1 .. fica normal..



tenho varias customizacoes no firmware, pedi o SDK e nao me mandaram...

bom.. dexa pra la.

feliz natal a todos

[GrayFox]

E ai Alê
Me procura no msn que te passo um patch que eu fiz

Feliz natal!

Thiago

[pardall11]

boa noite fis vários teste em relação a este virós mais para min não me parece ser um virós parece só um erro de escrita não achei ponto vuneravel na web do radio, pegai vários rádios ate os mais antigos a ate rádios novo tirado da caixa a tem o mesmo problema de colocar o ip-do radio mais o admin , eu como gosto de intender um pouco mais do problema antes de falar fui olhando arquivo por aquivo do radio em ssh e notei que so aparece as etradas estranha depois que configuramos o radio no sistema de monitoramento arcontrol ad ubnt porisso que eu estou achando q não é um viros mais cim uma maneira de faser todos nos atualizarmos os rádios .
a unica difereça de notei é que quando o radio esta com ssh desabilitado e ele é habilitado o radio travas tenho q ser desligado e ligado esta foi a diferenças .
os rádios que não forão configurados para ser acessado pelo arcorntro não ocorre este problema funcionao normal sem trava .
com isto gostaria a opinião dos amigos para este assunto .

[COLOR=#fafafa !important]

[/COLOR]

http://www.google.com/uds/css/small-logo.png

[peritinaicos]

agora ninguém explicou o que esse (vírus) faz ou deixa de fazer...

[osmano807]

boa noite fis vários teste em relação a este virós mais para min não me parece ser um virós parece só um erro de escrita não achei ponto vuneravel na web do radio, pegai vários rádios ate os mais antigos a ate rádios novo tirado da caixa a tem o mesmo problema de colocar o ip-do radio mais o admin , eu como gosto de intender um pouco mais do problema antes de falar fui olhando arquivo por aquivo do radio em ssh e notei que so aparece as etradas estranha depois que configuramos o radio no sistema de monitoramento arcontrol ad ubnt porisso que eu estou achando q não é um viros mais cim uma maneira de faser todos nos atualizarmos os rádios .
a unica difereça de notei é que quando o radio esta com ssh desabilitado e ele é habilitado o radio travas tenho q ser desligado e ligado esta foi a diferenças .
os rádios que não forão configurados para ser acessado pelo arcorntro não ocorre este problema funcionao normal sem trava .
com isto gostaria a opinião dos amigos para este assunto .

[COLOR=#fafafa !important]

[/COLOR]

Para saber se estão infectados, tentem abrir a pagina "http://IP_DO_RADIO/admin.cgi" .
Se conseguirem abrir, o radio nao está infectado. O virus renomeia esse arquivo para "adm.cgi".

Bem, só está infectado que o admin.cgi NÃO funcionar.

[valmirzuge]

o script envia dados de cookies (capturados pelo tcpdump) para o ip 178.216.144.75. Além disso, percorre todo o range de ips pra tentar proliferar o virus. num ip infectado verifiquei que os dados de cookie que ele mandou foi "100002677418915;1%3A72f45bb8592c903b01bdac0e2428230a%3A0%3A1323342467"... aparentemente não dá pra saber que informação é, mas pode ser que seja a senha ou alguma outra informação criptografada.