El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 16-05-2016 15:04:02

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,492

Oleada de ataque contra ubiquiti: España en el corazón de la tormenta

Un "virus de alcance global" se propaga en equipos Ubiquiti de España desde este fin de semana

somos_ubiquiti_1.jpg

  Pánico completo este fin de semana en las comunidades de usuarios de Ubiquiti.
Todo indica que el ataque ha empezado este viernes 13 (los piratas tienen sentido del humor) ya que el malware iverna unas 18 horas en el equipo contaminado antes de activarse y que es este fin de semana que han empezado a hacerse sentir sus efectos.
  Según el sitio "Sin cables" España fue/es particularmente afectada :

sin cable escribió:

Durante las últimas horas hemos sido testigos de ataques masivos a equipos del fabricante ubiquiti. Sabemos con certeza que han sido muchos los WISP españoles que han visto buena parte de sus redes caer ante esta vulnerabilidad, así como otros operadores a nivel mundial.

El virus afecta a los dispositivos que gastan el firmware/sistema operativo AirOs 5.6.1 y legacy 4.0.3
Se tratan de unas versiones algo desfasadas
  Las brechas explotadas por el malware eran conocidas desde tiempo y fueron corregidas por el fabricante en las versiones posteriores de los softwares.
  Los que no se enteraron y/o no han actualizado su firmware quedaron desprotegidos.

Un malware travieso

  Afortunadamente para ellos no es un virus "chungo" pero más bien una "bromita".
Lo que hace el virus (tras quedarse quieto 18 horas) es simplemente "resetear" el equipo a nivel de fabrica con lo cuál el usuario pierde su conexión a Internet y debe re-configurar por completo su dispositivo.   
  Un mal menor que tiene el merito de obligar estos usuarios a actualizar su firmware.
  El virus explota unas brechas desveladas hace un año atrás.
Unas de ellas lo fueron por el maestro Stefan Viehböck (el que desveló al mundo la brecha WPS) y la verdad es que son bastante groseras para un material tan carro y con tanta fama : Puertos abiertos sobre el exterior, credenciales genéricos "hardcoded" (imposibles de modificar o deshabilitar)... parece que ubiquiti ha contratado a los informaticos de ZTE o Huawei para hacer su airOS roll

  El modus operandi es el siguiente :

sin cables escribió:

Este virus explota una vulnerabilidad de PHP, instalándose en el sistema y descargando un ejecutable de CURL desde downloads.openwrt.org. A partir de ahí se crea un archivo mf.tar en /etc/persistent y un script de arranque en rc.poststart. El virus escanea IPs (no usa UBNT Discover como alguien ha dicho) para localizar otras víctimas que infectar y no actúa hasta pasadas unas 18H(...).

  El hecho de que se quede quieto 18 horas y usa los equipos infectados para propagarse a otros explica porque ha tenido bastante impacto.
  Era de esperar que unos usuarios aislados no hayan actualizado su dispositivo.
  Lo más sorprendente (¿lamentable?) es que unos cuantos WISP no hayan actualizado los firmwares de sus dispositivos en un año.
¡Vagos! tongue

sin cables escribió:

Lamentablemente, ya sea por exceso de confianza o falta de conocimiento, son muchos los WISP que dejaban los puertos de administración expuestos al exterior de sus redes, lo que sumado a mantener los puertos de gestión de los CPE por defecto, ha propiciado esta infección masiva y automatizada por todo el mundo, algo que podría haberse evitado con unas simples reglas de firewall y, por supuesto, manteniendo los equipos actualizados.

 

Soluciones

  Por suerte la respuesta ha sido inmediata gracias (no solo) a un equipo formado por Pedro Gracia (Impulzia), Franscisco Hidalgo (IB-Red) y Víctor De La Nuez (WiFi Canarias). Han publicado un script para eliminar la infección que no tiene nada de complicado.
Podemos hacerlo nosotros mismo con un par de lineas de ordenes bash
Esta es el plan :

  1. Desinfección
    cd /etc/persistent/                  # Nos situamos  en el directorio /etc/persistent
    rm mf.tar                               # Borramos el "código fuente" del  virus (mf.tar)
    rm rc.poststart                       # Borramos el script malicioso
    rm -R .mf                               # Borramos del todo y de forma recursiva el directorio "escondido" .mf
    cfgmtd -p /etc/persistent/ -w    # Usamos el comando cfgmtd para modificar la NVRAM
    reboot                                    # Reiniciar el equipo
    Sino hay un script para hacer esto aqui

  2. Actualización
    Luego lo primero que se debe hacer es descargar y instalar la ultima versión del firmware para su CPE ubiquiti. (AirOS esta en su versión 5.6.5 en este momento ). Obviamente debemos descargar el firmware unicamente desde la pagina focial ubiquiti

  3. Prevención
    Cambiar los puertos asignados por defecto a la gestión remota (SSH, telnet, ftp etc...) y sobre todo cerrar los sobre el exterior (uso solo en local)

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#2 26-05-2016 15:32:58

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,492

Re: Oleada de ataque contra ubiquiti: España en el corazón de la tormenta

Se ha publicado un exploit para metalsploit para explotar la brecha : Ubiquiti airOS Arbitrary File Upload
Utiliza la misma técnica del guzano "mother fucker" big_smile (el virus se lama mf = mother fucker ) para crear una cuenta con derechos de administrador con su llave de acceso SSH.
Ya no se trata de "una broma" pero de control remoto (es un exploit para metalsploit)

Desconectado

#3 29-05-2016 23:35:17

dymusya
Very Important Usuario

Registrado: 19-04-2015
Mensajes: 174

Re: Oleada de ataque contra ubiquiti: España en el corazón de la tormenta

Gracias amigo!
He hecho update de mi nanostation m2 hasta version mas actual
Firmware Version:     XM.v5.6.6           Upload Firmware:     
Build Number:     29183

Me recomiendas quitar estas marcas tambien

"Device Discovery           

Discovery:     Enable           
CDP:     Enable "    ?

Y tambien tengo:  Web Server  enable
y  HTTPS  enable  (los puertos Secure Server Port 443 y server port 80).
Creo que estos dos mejor no tocar, porque tengo reset botton roto, y si las  desactivo, no podre configurar ni resetar mi querido NanoStation ?

Gracias, estoy con mi musicita, no te visito mucho 
biere

Desconectado

#4 29-05-2016 23:46:48

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,492

Re: Oleada de ataque contra ubiquiti: España en el corazón de la tormenta

offtopic :
¿Que haces como musicita? ¿Se puede escuchar? smile

Me recomiendas quitar estas marcas tambien

logicamente el update que has hecho batsa

Web Server  enable y  HTTPS  enable  (los puertos Secure Server Port 443 y server port 80).

Esto dejalo abierto solo en local, no "abierto sobre el exetrior"
No conozco air os pero supongo que lo de tener la interfaz  abierta sobre el exterior se llamará "remote managment" o algo si.
Yo dejaría el web server habilitado, lo que no haría es habilitar el "remote management" que fue usado por el gusano y de todo modo... ¿Para que quiero manejar mi interfaz fuera de la red local?  ¿para salir en la web de los rusos? big_smile

Gracias, estoy con mi musicita, no te visito mucho

¡Viva la música! No hay nada mejor en el mundo wink

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Pegado:
11 2026 Ayer 20:57:11 por kcdtv
3 3380 Ayer 16:57:14 por KamiOh
1 161 22-10-2018 19:37:04 por kcdtv
0 81 22-10-2018 18:47:05 por kcdtv
Hostbase 1.2 está aqui por Koala  [ 1 2 3 4 5 ]
124 7904 20-10-2018 21:23:03 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: coolbobson
Usuarios registrados conectados: 0
Invitados conectados: 7

Estadisticas de los foros

Número total de usuarios registrados: 1,241
Número total de temas: 1,209
Número total de mensajes: 12,446

Máx. usuarios conectados: 71 el 18-10-2018 06:35:48