Oleada de ataque contra ubiquiti: España en el corazón de la tormenta

[h]Un “virus de alcance global” se propaga en equipos Ubiquiti de España desde este fin de semana[/h]

Pánico completo este fin de semana en las comunidades de usuarios de Ubiquiti.
Todo indica que el ataque ha empezado este viernes 13 (los piratas tienen sentido del humor) ya que el malware iverna unas 18 horas en el equipo contaminado antes de activarse y que es este fin de semana que han empezado a hacerse sentir sus efectos.
Según el sitio “Sin cables” España fue/es particularmente afectada :

  1. Ataque masivo a equipos Ubiquiti de overdrv @ Sin Cables/*]

El virus afecta a los dispositivos que gastan el firmware/sistema operativo AirOs 5.6.1 y legacy 4.0.3
Se tratan de unas versiones algo desfasadas
Las brechas explotadas por el malware eran conocidas desde tiempo y fueron corregidas por el fabricante en las versiones posteriores de los softwares.
Los que no se enteraron y/o no han actualizado su firmware quedaron desprotegidos.

[h]Un malware travieso[/h]

Afortunadamente para ellos no es un virus “chungo” pero más bien una “bromita”.
Lo que hace el virus (tras quedarse quieto 18 horas) es simplemente “resetear” el equipo a nivel de fabrica con lo cuál el usuario pierde su conexión a Internet y debe re-configurar por completo su dispositivo.
Un mal menor que tiene el merito de obligar estos usuarios a actualizar su firmware.
El virus explota unas brechas desveladas hace un año atrás.
Unas de ellas lo fueron por el maestro Stefan Viehböck (el que desveló al mundo la brecha WPS) y la verdad es que son bastante groseras para un material tan carro y con tanta fama : Puertos abiertos sobre el exterior, credenciales genéricos “hardcoded” (imposibles de modificar o deshabilitar)… parece que ubiquiti ha contratado a los informaticos de ZTE o Huawei para hacer su airOS :rolleyes:

  1. Insecure default configuration by Stefan Viehböck/*]

El modus operandi es el siguiente :

El hecho de que se quede quieto 18 horas y usa los equipos infectados para propagarse a otros explica porque ha tenido bastante impacto.
Era de esperar que unos usuarios aislados no hayan actualizado su dispositivo.
Lo más sorprendente (¿lamentable?) es que unos cuantos WISP no hayan actualizado los firmwares de sus dispositivos en un año.
¡Vagos! :stuck_out_tongue:

[h]Soluciones[/h]

Por suerte la respuesta ha sido inmediata gracias (no solo) a un equipo formado por Pedro Gracia (Impulzia), Franscisco Hidalgo (IB-Red) y Víctor De La Nuez (WiFi Canarias). Han publicado un script para eliminar la infección que no tiene nada de complicado.
Podemos hacerlo nosotros mismo con un par de lineas de ordenes bash
Esta es el plan :

  1. Desinfección
    cd /etc/persistent/ # Nos situamos en el directorio /etc/persistent
    rm mf.tar # Borramos el “código fuente” del virus (mf.tar)
    rm rc.poststart # Borramos el script malicioso
    rm -R .mf # Borramos del todo y de forma recursiva el directorio “escondido” .mf
    cfgmtd -p /etc/persistent/ -w # Usamos el comando cfgmtd para modificar la NVRAM
    reboot # Reiniciar el equipo
    Sino hay un script para hacer esto aqui/*]
  2. Actualización
    Luego lo primero que se debe hacer es descargar y instalar la ultima versión del firmware para su CPE ubiquiti. (AirOS esta en su versión 5.6.5 en este momento ). Obviamente debemos descargar el firmware unicamente desde la pagina focial ubiquiti/*]
  3. Prevención
    Cambiar los puertos asignados por defecto a la gestión remota (SSH, telnet, ftp etc…) y sobre todo cerrar los sobre el exterior (uso solo en local)/*]

Se ha publicado un exploit para metalsploit para explotar la brecha : Ubiquiti airOS Arbitrary File Upload
Utiliza la misma técnica del guzano “mother fucker” :smiley: (el virus se lama **mf ** = mother fucker ) para crear una cuenta con derechos de administrador con su llave de acceso SSH.
Ya no se trata de “una broma” pero de control remoto (es un exploit para metalsploit)

Gracias amigo!
He hecho update de mi nanostation m2 hasta version mas actual
Firmware Version: XM.v5.6.6 Upload Firmware:
Build Number: 29183

Me recomiendas quitar estas marcas tambien

"Device Discovery

Discovery: Enable
CDP: Enable " ?

Y tambien tengo: Web Server enable
y HTTPS enable (los puertos Secure Server Port 443 y server port 80).
Creo que estos dos mejor no tocar, porque tengo reset botton roto, y si las desactivo, no podre configurar ni resetar mi querido NanoStation ?

Gracias, estoy con mi musicita, no te visito mucho
:biere:

offtopic :
¿Que haces como musicita? ¿Se puede escuchar? :slight_smile:

logicamente el update que has hecho batsa

Esto dejalo abierto solo en local, no “abierto sobre el exetrior”
No conozco air os pero supongo que lo de tener la interfaz abierta sobre el exterior se llamará “remote managment” o algo si.
Yo dejaría el web server habilitado, lo que no haría es habilitar el “remote management” que fue usado por el gusano y de todo modo… ¿Para que quiero manejar mi interfaz fuera de la red local? ¿para salir en la web de los rusos? :smiley:

¡Viva la música! No hay nada mejor en el mundo :wink: