+ Responder ao Tópico



  1. #21

    Padrão Re: Vírus: Worm para AirOS Ubiquiti

    o QUE SERA QUE ESSE VIRUZ FAZ???

  2. #22

    Padrão Re: WORM para AIROS da Ubiquiti

    Pode mostrar um link para baixar a firmware dd-wrt?

    Saudações,



  3. #23

    Padrão Re: WORM para AIROS da Ubiquiti


  4. #24

    Padrão Re: WORM para AIROS da Ubiquiti

    Ainda bem que só uso mikrotik e estou seguindo o mesmo caminho do alexandre migrando para licenciados.. Poucos UBNT que tinha já retirei.. Quando a ubiquiti fizer um hardware que preste e um OS que tenha segurança eu talvez volte a usar. Enquanto isso fico só no mikrotik Bug OS. Que já é um problema em nossas vidas. rsrsrsrs.
    Boa sorte a todos.



  5. #25

    Padrão Re: WORM para AIROS da Ubiquiti

    Desculpe, houve um engando quanto ao Sistema da Routerstation Pro, realmente é o Open, porem não deixa de ser possível a instalação do dd-wrt nos equipamentos:

    DD-WRT Forum :: View Forum - Ubiquiti Devices

  6. #26

    Padrão Alerta: Worm infecta AirOS Ubiquiti ( 3.6.1 - 4.0 - 5.x )

    Recebi por e-mail e estou repassando a comunidade, se alguém encontrar essa praga em seus equipamentos e quiser postar os testes que tiver feito com o mesmo seria interessante, assim como outro dia havia infecção do sistema dos rádios OIW que ainda esperamos uma solução, a preocupação é grande em ver que essa ''moda" parece estar se espalhando.

    Worm infecta Ubiquiti AirOS

    Foi constatado nesta Quarta Feira 21/12/2012, que o sistema AirOS da empresa Ubiquiti com as versões:

    3.6.1
    4.0 (Legacy)
    5.x (Airmax) todas

    Podem conter uma vulnerabilidade considerada grave.

    Siga os passos abaixo para saber se o seu equipamento contém o vírus (WORM: SKYNET).

    Abra a página: HTTP://IP_DO_RADIO/admin.cgi
    Se a página abrir é sinal de que o equipamento não está infectado. O vírus renomeia este arquivo para “adm.cgi”.

    Remoção:
    Resete o equipamento para os padrões de fábrica ou elimine o script manualmente.

    Via SSH:
    rm /etc/persistent/rc.poststart
    rm -rf .skynet
    save
    reboot

    Após a remoação, atualize o firmware do seu equipamento.

    AIRMAX – versão 5.3.5
    LEGACY – versão 4.0.1

    Fonte: GrayFox

    Abraço a todos



  7. #27

    Padrão Re: Alerta: Worm infecta AirOS Ubiquiti ( 3.6.1 - 4.0 - 5.x )

    Olá Luciano, boa noite!

    Caso não tenha sido infectado o aparelho, a atualização ''blinda'' ?

  8. #28

    Padrão Re: Alerta: Worm infecta AirOS Ubiquiti ( 3.6.1 - 4.0 - 5.x )

    Amigo m4d3, saberia dizer com pego esse vírus e o que faz? (aqui todos abriram normalmente)...



  9. #29

    Padrão Re: Alerta: Worm infecta AirOS Ubiquiti ( 3.6.1 - 4.0 - 5.x )

    fis us teste com alguns rádios mesmos com o firmware anfiga a aparece tb qual seria o sintoma deste viros ex ele tb pede logim e senha com o firmware XS5.ar2313.v3.5.4476.091013.1757.
    Clique na imagem para uma versão maior

Nome:	         imagem-ubnt.jpg
Visualizações:	235
Tamanho: 	18,9 KB
ID:      	31674
    sera que é um virós ou um comando interno esta tela aparece com uma nano m5 com o
    Firmware Version: XM.v5.3 resetada de fabrica .
    esta nano é zero não foi para cliente retirei da cacha e fis o teste para ver somente com login e senha ubnt ubnt (Abra a página: http://192.168.1.20/admin.cgi).
    qualseia o sintomas que este virós apresenta na rede ou com o radio ?
    [COLOR=#fafafa !important]

    [/COLOR]
    http://www.google.com/uds/css/small-logo.png

  10. #30

    Padrão Re: Alerta: Worm infecta AirOS Ubiquiti ( 3.6.1 - 4.0 - 5.x )

    Bom dia, a todos, pois fica a duvida, como estes equipamentos estão sendo infectados???
    Pode ser algum tipo de injeção de codigo, ou websploit???
    Mas igual agradeço a grande ajuda que o m4d3 deu..

    abraços






  11. #31

    Padrão Vulnerabilidade Ubiquiti

    A informação abaixo é de extrema importância e deve ser repassada aos usuários dos produtos Ubiquiti.

    Abaixo seguem as explicações da Ubiquiti sobre a vulnerabilidade encontrada dos firmwares AirOs e a solução do problema:


    21/12/2011

    ATENÇÃO: Vulnerabilidade no Firmware AirOS Ubiquiti

    Hoje descobrimos uma vulnerabilidade que podia permitir aos usuários externos acesso administrativo aos equipamentos da Ubiquiti com AirOS versão 3/4/5, sem autenticação.

    Ao identificar este problema, nós o consertamos rapidamente, e lançamos um firmware atualizado com um patch para essa vulnerabilidade.

    Encontra-se o firmware atualizado aqui: http://ubnt.com/support/downloads

    As versões afetadas:
    · Produtos 802.11 - AirOS v3.6.1/v4.0 (versões anteriores não foram afetadas)
    · Produtos AirMax - AirOS v5.x (todas as versões)

    As versões atualizadas (com patch) são:
    · v4.0.1 - Produtos ISP 802.11
    · v5.3.5 - Produtos ISP AirMax
    · v5.4.5 - Firmware para o AirSync

    http://www.ubnt.com/support/downloads

    Recomendamos a quem está com dispositivos de AirOS que sejam accessíveis publicamente (via HTTP) que atualize o mais rápido possível para prevenir este problema. Se tiver qualquer outra pergunta ou requer as versões anteriores de firmware, favor entrar em contato conosco ([email protected]).


    Há duas coisas para serem mencionadas sobre a vulnerabilidade:
    1. Uma vulnerabilidade com o servidor HTTP, que permite acesso aos usuários externos (sem autenticação) e executar comandos.
    2. Um worm que se aproveita daquilo mencionado anteriormente (#1) para se espalhar

    O novo firmware previne #1 que consequentemente previne #2.

    Se o worm já se manifestou, ele fará o seguinte:
    1. Renomear admin.cgi para adm.cgi (pode-se checar no navegador depois de autenticar-se)
    2. Criar um startup script no diretório /etc/persistent (pode-se checar isso ao executar ls -la /etc/persistent e procurar por .skynet)

    Estamos terminando um patch agora que remove o worm, mas no entanto, siga abaixo as instruções para removê-lo manualmente:
    1. Entrar no dispositivo via SSH
    2. cd /etc/persistent
    3. rm rc.poststart
    4. rm -rf .skynet
    5. cfgmtd -w -p /etc/
    6. Reiniciar

  12. #32

    Padrão Re: Vulnerabilidade Ubiquiti

    Isso não garante que o worm não voltará, vai precisar do firmware atualizado para preveni-lo.

    Se os dispositivos já foram atingidos pelo worm, pode-se realizar um conserto em massa por meio do AirControl:

    http://ubnt.com/wiki/AirControl#Exec...ice_Operations

    1. No AirControl, selecione os dispositivos para serem consertos
    2. Clique direito, e selecione 'Tasks/Operations'
    3. Escolhe 'Execute Command'
    4. No campo de comandos, digita "rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;" -- sem aspas
    5. Clique 'Done'

    Fonte: http://www.ubnt.com/forum/showthread...875#post236875



  13. #33

    Padrão Re: WORM para AIROS da Ubiquiti

    Citação Postado originalmente por nod3vic3 Ver Post
    Jamie, saberia informar qual o comportamento do exploit, o que ele tenta fazer?
    Essas informações já foram publicadas no fórum oficial da Ubiquiti, para quem não saiba ainda, a Ubiquiti lançou um fórum destinado aos usuários do Brasil e encontra-se aqui: Vulnerabilidade de AirOS - Ubiquiti Networks Forum (o tópico oficial sobre a vulnerabilidade).

    Obrigado a Victor Mota por relatar essas informações aqui.

    Abraços a todos,
    Jamie

  14. #34

    Padrão Re: WORM para AIROS da Ubiquiti

    Muita gente ai falando mal de Ubquiti e Mikrotik ...


    Nossa como eu sou grato por existirem esses equipamentos, e poder ter construído meu provedor.


    E acho ótimo, que exista uma comunidade em volta desses equipamentos, melhorando cada vez mais o sistema dele. Mesmo que de vez em quando, cause algum transtorno, como esse em questão.

    E as varias versões do mikrotik é a coisa mais maravilhosa ainda, porque estão melhorando tudo a cada dia.


    E esse tal de cisco ... esse ai não quero papo não. Muito metido



  15. #35

    Padrão Re: WORM para AIROS da Ubiquiti

    allac, concordo e não tiro o merito deles..

    o problema eh obrigarem a atualizar para uma versao que esta dando mto problema ... poderiam simplesmente colocar patch e deixar os binarios para download.. sem forçar migrar de versão..

    vi gente reportando que com a 5.3.5 upload nao passa de 1mb .. com a 5.2.1 .. fica normal..



    tenho varias customizacoes no firmware, pedi o SDK e nao me mandaram...

    bom.. dexa pra la.

    feliz natal a todos

  16. #36

    Padrão Re: WORM para AIROS da Ubiquiti

    E ai Alê
    Me procura no msn que te passo um patch que eu fiz

    Feliz natal!

    Thiago



  17. #37

    Padrão Re: WORM para AIROS da Ubiquiti

    boa noite fis vários teste em relação a este virós mais para min não me parece ser um virós parece só um erro de escrita não achei ponto vuneravel na web do radio, pegai vários rádios ate os mais antigos a ate rádios novo tirado da caixa a tem o mesmo problema de colocar o ip-do radio mais o admin , eu como gosto de intender um pouco mais do problema antes de falar fui olhando arquivo por aquivo do radio em ssh e notei que so aparece as etradas estranha depois que configuramos o radio no sistema de monitoramento arcontrol ad ubnt porisso que eu estou achando q não é um viros mais cim uma maneira de faser todos nos atualizarmos os rádios .
    a unica difereça de notei é que quando o radio esta com ssh desabilitado e ele é habilitado o radio travas tenho q ser desligado e ligado esta foi a diferenças .
    os rádios que não forão configurados para ser acessado pelo arcorntro não ocorre este problema funcionao normal sem trava .
    com isto gostaria a opinião dos amigos para este assunto .
    [COLOR=#fafafa !important]

    [/COLOR]
    http://www.google.com/uds/css/small-logo.png

  18. #38

    Padrão Re: WORM para AIROS da Ubiquiti

    agora ninguém explicou o que esse (vírus) faz ou deixa de fazer...



  19. #39
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.985
    Posts de Blog
    5

    Padrão Re: WORM para AIROS da Ubiquiti

    Citação Postado originalmente por pardall11 Ver Post
    boa noite fis vários teste em relação a este virós mais para min não me parece ser um virós parece só um erro de escrita não achei ponto vuneravel na web do radio, pegai vários rádios ate os mais antigos a ate rádios novo tirado da caixa a tem o mesmo problema de colocar o ip-do radio mais o admin , eu como gosto de intender um pouco mais do problema antes de falar fui olhando arquivo por aquivo do radio em ssh e notei que so aparece as etradas estranha depois que configuramos o radio no sistema de monitoramento arcontrol ad ubnt porisso que eu estou achando q não é um viros mais cim uma maneira de faser todos nos atualizarmos os rádios .
    a unica difereça de notei é que quando o radio esta com ssh desabilitado e ele é habilitado o radio travas tenho q ser desligado e ligado esta foi a diferenças .
    os rádios que não forão configurados para ser acessado pelo arcorntro não ocorre este problema funcionao normal sem trava .
    com isto gostaria a opinião dos amigos para este assunto .
    [COLOR=#fafafa !important]

    [/COLOR]

    Citação Postado originalmente por GrayFox Ver Post
    Para saber se estão infectados, tentem abrir a pagina "http://IP_DO_RADIO/admin.cgi" .
    Se conseguirem abrir, o radio nao está infectado. O virus renomeia esse arquivo para "adm.cgi".
    Bem, só está infectado que o admin.cgi NÃO funcionar.

  20. #40

    Padrão Re: WORM para AIROS da Ubiquiti

    o script envia dados de cookies (capturados pelo tcpdump) para o ip 178.216.144.75. Além disso, percorre todo o range de ips pra tentar proliferar o virus. num ip infectado verifiquei que os dados de cookie que ele mandou foi "100002677418915;1%3A72f45bb8592c903b01bdac0e2428230a%3A0%3A1323342467"... aparentemente não dá pra saber que informação é, mas pode ser que seja a senha ou alguma outra informação criptografada.