WORM para AIROS da Ubiquiti

[GrayFox]

Caros amigos do fórum,

Ontem, foi descoberto uma falha do sistema operacional (AirOS).
O worm é conhecido como "SKYNET".

As versoes 3.6.1/4.0 (legacy) e todas as 5.x (airmax) estão com vulnerabilidades.


Para saber se estão infectados, tentem abrir a pagina "http://IP_DO_RADIO/admin.cgi" .
Se conseguirem abrir, o radio nao está infectado. O virus renomeia esse arquivo para "adm.cgi".

Para remover o vírus, resete o equipamento para padrao de fabrica ou elimine o script na mao mesmo.

Por SSH:
rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot


Após removido, atualize sua firmware.

Segue o link para as novas firmwares:
http://www.ubnt.com/support/downloads

AIRMAX - versao 5.3.5
LEGACY - versao 4.0.1

Saudações a todos.
Thiago

[demattos]

Opa, ja estou verificando meus radios, mas havia ocorrido isto com firmware dos radios da oiwtech

[sergio]

Só o que faltava mesmo... agora teremos que nos preocupar com tudo que é firmware de roteadores WiFi.

Obrigado pela dica GrayFox.

[osmano807]

Tem alguma informação de como entrou?
Essas interfaces web são um problema... sempre estão botando dados sem filtrar...

[higley]

Olá Amigos do Under-Linux,

Hoje descobrimos uma vulnerabilidade que podia permitir aos usuários externos acesso administrativo em equipamentos da Ubiquiti com AirOS versão 3/4/5, sem autenticação.

Ao identificar este problema, nós o consertamos rapidamente, e lançamos um firmware atualizado com um patch para essa vulnerabilidade.

Encontra-se o firmware atualizado aqui: Downloads | Ubiquiti Networks, Inc.

As versões afetadas:

• Produtos 802.11 - AirOS v3.6.1/v4.0 (versões anteriores não foram afetadas)
• Produtos AirMax - AirOS v5.x (todas as versões)

As versões atualizadas (com patch) são:

• v4.0.1 - Produtos ISP 802.11
• v5.3.5 - Produtos ISP AirMax
• v5.4.5 - Firmware para o AirSync

Recomendamos a quem está com dispositivos de AirOS que sejam accessíveis publicamente (via HTTP) que atualize o mais rápido possível para prevenir este problema.

Se tiver qualquer outra pergunta ou requer as versões anteriores de firmware, favor entrar em contato conosco ([email protected]). Para ler o anúncio oficial da UBNT, visite: AirOS Security Exploit -- Updated Firmware - Ubiquiti Networks Forum

Atenciosamente,
Jamie

[lucianosds]

Valeu Grayfox, Higley e demais amigos do fórum. Isso sim uma informação de relevância. Agora é avisar a equipe e começar as atualizações.

O link correto para o post do fórum oficial da Ubiquity está aqui.

[nod3vic3]

Jamie, saberia informar qual o comportamento do exploit, o que ele tenta fazer?

Olá Amigos do Under-Linux,

Hoje descobrimos uma vulnerabilidade que podia permitir aos usuários externos acesso administrativo em equipamentos da Ubiquiti com AirOS versão 3/4/5, sem autenticação.

Ao identificar este problema, nós o consertamos rapidamente, e lançamos um firmware atualizado com um patch para essa vulnerabilidade.

Encontra-se o firmware atualizado aqui: Downloads | Ubiquiti Networks, Inc.

As versões afetadas:

• Produtos 802.11 - AirOS v3.6.1/v4.0 (versões anteriores não foram afetadas)
• Produtos AirMax - AirOS v5.x (todas as versões)

As versões atualizadas (com patch) são:

• v4.0.1 - Produtos ISP 802.11
• v5.3.5 - Produtos ISP AirMax
• v5.4.5 - Firmware para o AirSync

Recomendamos a quem está com dispositivos de AirOS que sejam accessíveis publicamente (via HTTP) que atualize o mais rápido possível para prevenir este problema.

Se tiver qualquer outra pergunta ou requer as versões anteriores de firmware, favor entrar em contato conosco ([email protected]). Para ler o anúncio oficial da UBNT, visite: AirOS Security Exploit -- Updated Firmware - Ubiquiti Networks Forum

Atenciosamente,
Jamie

[naldo864]

sim o que este worm faz ,tive um problema e tive que resetar 6 equipamentos e reconfigurar esta semana achei que foi problema das chuvas.
este virus infecta por rede

[naldo864]

e o que faltava passar o natal reconfigurando aps .

[alexandrecorrea]

regra basica: nao permitir conexoes porta 1 ate 1024 para a rede dos clientes.. ja resolve 90% do problema :P

[naldo864]

pior airos e linux ,omundo não passa de 2012 .arrependei vos infieis ....

[alexandrecorrea]

essa bosta de airOS ta bugado D+, o sistema de autenticação deles tem problemas e não é de hoje, demorou para aparecer a falha...

quer testar outro bug ?

configure seu ap com uma senha maior que 8 caracteres..

na hora do login, digite apenas 8 caracteres da senha.. e... logged in !! tanto web quanto ssh ..

conseguiram até estragar o sistema de login do linux ...

ai quando voce reporta um erro dessa magnitude... te respondem que isso será corrigido na versao 5.5 !! e antes disso ? fica com problema ?

onde consigo, estou colocand radio licenciado.. tirando essas porcaria da ubiquiti e mikrotik (que não perde de longe da ubiquiti em sistema 'beta forever').

ainda vaia ubiquiti fazer o EdgeOS ? estão ficando louco que vou deixar meus roteadores bgp na mão deles.. que não dão conta de manter um sisteminha de 6~8mb seguro...

[naldo864]

e bom que existem pessoas igual voce que estão acima da media alexandre e que estão aqui para ajudar e que entendem realmente de linux e os problemas .quando aconteceu todo aquele rolo eu fiquei meio chateado com voce mas eu estou engatinhando e sou orgulhoso por isso brigo e falo o que não devo mas isso que voce falou agora e de quem realmente entende.
eu so sou pretencioso.

[farias]

pior airos e linux ,omundo não passa de 2012 .arrependei vos infieis ....

Devemos atualizar para o firmware Maia!

[GrayFox]

Bom, o importante é que agora todos estão cientes.

Bom natal a todos e um bom ano novo!

Saudações,

[Pradela]

essa bosta de airOS ta bugado D+, o sistema de autenticação deles tem problemas e não é de hoje, demorou para aparecer a falha...

quer testar outro bug ?

configure seu ap com uma senha maior que 8 caracteres..

na hora do login, digite apenas 8 caracteres da senha.. e... logged in !! tanto web quanto ssh ..

conseguiram até estragar o sistema de login do linux ...

ai quando voce reporta um erro dessa magnitude... te respondem que isso será corrigido na versao 5.5 !! e antes disso ? fica com problema ?

onde consigo, estou colocand radio licenciado.. tirando essas porcaria da ubiquiti e mikrotik (que não perde de longe da ubiquiti em sistema 'beta forever').

ainda vaia ubiquiti fazer o EdgeOS ? estão ficando louco que vou deixar meus roteadores bgp na mão deles.. que não dão conta de manter um sisteminha de 6~8mb seguro...

eu, alem de pouco conhecimento para fazer uma avalicao competente desse tipo de solucao, fikei sabendo disso essa madrugada.

eh o seguinte: tem um conhecido q tem um conhecido q usa cisco com um OS desse lugar:

http://www.dd-wrt.com/site/index

serah q existe nesse mesmo site opcoes para nos ubiquiteiros?

serah q vc e demais experts teriam como avaliar isso?

[ricardowireless]

eu, alem de pouco conhecimento para fazer uma avalicao competente desse tipo de solucao, fikei sabendo disso essa madrugada.

eh o seguinte: tem um conhecido q tem um conhecido q usa cisco com um OS desse lugar:

http://www.dd-wrt.com/site/index

serah q existe nesse mesmo site opcoes para nos ubiquiteiros?

serah q vc e demais experts teriam como avaliar isso?

Existe sim, hoje vc consegue colocar o dd-wrt na maioria dos rádios 2.4ghz da Ubiquiti, um exemplo é a RouterStation Pro que vem o sistema...

[alternativainfo]

Foi constatado nesta Quarta Feira 21/12/2012, que o sistema AirOS da empresa Ubiquiti com as versões 3.6.1/4.0 (Legacy) e todas as 5.x (Airmax) podem conter uma vulnerabilidade considerada grave.
Siga os passos abaixo para saber se o seu equipamento contém o vírus (WORM: SKYNET).

Abra a página: HTTP://IP_DO_RADIO/admin.cgi
Se a página abrir é sinal de que o equipamento não está infectado. O vírus renomeia este arquivo para “adm.cgi”.

Remoção:

Resete o equipamento para os padrões de fábrica ou elimine o script manualmente.

Via SSH:
rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot

Após a remoação, actualize o firmware do seu equipamento.
http://www.ubnt.com/support/downloads

AIRMAX – versão 5.3.5
LEGACY – versão 4.0.1

Fonte:

GrayFox

[GrayFox]

Negativo Ricardo,
O que vem com routerstation é o "OPEN-WRT".

O DD-WRT é pago.

O AirOS da ubiquiti é baseado em cima do open-wrt.

Existe sim, hoje vc consegue colocar o dd-wrt na maioria dos rádios 2.4ghz da Ubiquiti, um exemplo é a RouterStation Pro que vem o sistema...

[osmano807]

Negativo Ricardo,
O que vem com routerstation é o "OPEN-WRT".

O DD-WRT é pago.

O AirOS da ubiquiti é baseado em cima do open-wrt.

Nem toda versão do DD-WRT é paga, só as de uso específico (e com mais funcionalidades).