El libre pensamiento para un internet libre
No estas registrado.
- Temas: Activo | Sin respuesta
Anuncio
#1 16-05-2016 15:04:02
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 4,651
Oleada de ataque contra ubiquiti: España en el corazón de la tormenta
Un "virus de alcance global" se propaga en equipos Ubiquiti de España desde este fin de semana
Pánico completo este fin de semana en las comunidades de usuarios de Ubiquiti.
Todo indica que el ataque ha empezado este viernes 13 (los piratas tienen sentido del humor) ya que el malware iverna unas 18 horas en el equipo contaminado antes de activarse y que es este fin de semana que han empezado a hacerse sentir sus efectos.
Según el sitio "Sin cables" España fue/es particularmente afectada :
Durante las últimas horas hemos sido testigos de ataques masivos a equipos del fabricante ubiquiti. Sabemos con certeza que han sido muchos los WISP españoles que han visto buena parte de sus redes caer ante esta vulnerabilidad, así como otros operadores a nivel mundial.
Ataque masivo a equipos Ubiquiti de overdrv @ Sin Cables
El virus afecta a los dispositivos que gastan el firmware/sistema operativo AirOs 5.6.1 y legacy 4.0.3
Se tratan de unas versiones algo desfasadas
Las brechas explotadas por el malware eran conocidas desde tiempo y fueron corregidas por el fabricante en las versiones posteriores de los softwares.
Los que no se enteraron y/o no han actualizado su firmware quedaron desprotegidos.
Un malware travieso
Afortunadamente para ellos no es un virus "chungo" pero más bien una "bromita".
Lo que hace el virus (tras quedarse quieto 18 horas) es simplemente "resetear" el equipo a nivel de fabrica con lo cuál el usuario pierde su conexión a Internet y debe re-configurar por completo su dispositivo.
Un mal menor que tiene el merito de obligar estos usuarios a actualizar su firmware.
El virus explota unas brechas desveladas hace un año atrás.
Unas de ellas lo fueron por el maestro Stefan Viehböck (el que desveló al mundo la brecha WPS) y la verdad es que son bastante groseras para un material tan carro y con tanta fama : Puertos abiertos sobre el exterior, credenciales genéricos "hardcoded" (imposibles de modificar o deshabilitar)... parece que ubiquiti ha contratado a los informaticos de ZTE o Huawei para hacer su airOS 
Insecure default configuration by Stefan Viehböck
El modus operandi es el siguiente :
Este virus explota una vulnerabilidad de PHP, instalándose en el sistema y descargando un ejecutable de CURL desde downloads.openwrt.org. A partir de ahí se crea un archivo mf.tar en /etc/persistent y un script de arranque en rc.poststart. El virus escanea IPs (no usa UBNT Discover como alguien ha dicho) para localizar otras víctimas que infectar y no actúa hasta pasadas unas 18H(...).
El hecho de que se quede quieto 18 horas y usa los equipos infectados para propagarse a otros explica porque ha tenido bastante impacto.
Era de esperar que unos usuarios aislados no hayan actualizado su dispositivo.
Lo más sorprendente (¿lamentable?) es que unos cuantos WISP no hayan actualizado los firmwares de sus dispositivos en un año.
¡Vagos! 
Lamentablemente, ya sea por exceso de confianza o falta de conocimiento, son muchos los WISP que dejaban los puertos de administración expuestos al exterior de sus redes, lo que sumado a mantener los puertos de gestión de los CPE por defecto, ha propiciado esta infección masiva y automatizada por todo el mundo, algo que podría haberse evitado con unas simples reglas de firewall y, por supuesto, manteniendo los equipos actualizados.
Soluciones
Por suerte la respuesta ha sido inmediata gracias (no solo) a un equipo formado por Pedro Gracia (Impulzia), Franscisco Hidalgo (IB-Red) y Víctor De La Nuez (WiFi Canarias). Han publicado un script para eliminar la infección que no tiene nada de complicado.
Podemos hacerlo nosotros mismo con un par de lineas de ordenes bash
Esta es el plan :
Desinfección
cd /etc/persistent/ # Nos situamos en el directorio /etc/persistent
rm mf.tar # Borramos el "código fuente" del virus (mf.tar)
rm rc.poststart # Borramos el script malicioso
rm -R .mf # Borramos del todo y de forma recursiva el directorio "escondido" .mf
cfgmtd -p /etc/persistent/ -w # Usamos el comando cfgmtd para modificar la NVRAM
reboot # Reiniciar el equipo
Sino hay un script para hacer esto aquiActualización
Luego lo primero que se debe hacer es descargar y instalar la ultima versión del firmware para su CPE ubiquiti. (AirOS esta en su versión 5.6.5 en este momento ). Obviamente debemos descargar el firmware unicamente desde la pagina focial ubiquitiPrevención
Cambiar los puertos asignados por defecto a la gestión remota (SSH, telnet, ftp etc...) y sobre todo cerrar los sobre el exterior (uso solo en local)
Desconectado
Anuncio
#2 26-05-2016 15:32:58
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 4,651
Re: Oleada de ataque contra ubiquiti: España en el corazón de la tormenta
Se ha publicado un exploit para metalsploit para explotar la brecha : Ubiquiti airOS Arbitrary File Upload
Utiliza la misma técnica del guzano "mother fucker" 
(el virus se lama mf = mother fucker ) para crear una cuenta con derechos de administrador con su llave de acceso SSH.
Ya no se trata de "una broma" pero de control remoto (es un exploit para metalsploit)
Desconectado
#3 29-05-2016 23:35:17
- dymusya
- Very Important Usuario
- Registrado: 19-04-2015
- Mensajes: 180
Re: Oleada de ataque contra ubiquiti: España en el corazón de la tormenta
Gracias amigo!
He hecho update de mi nanostation m2 hasta version mas actual
Firmware Version: XM.v5.6.6 Upload Firmware:
Build Number: 29183
Me recomiendas quitar estas marcas tambien
"Device Discovery
Discovery: Enable
CDP: Enable " ?
Y tambien tengo: Web Server enable
y HTTPS enable (los puertos Secure Server Port 443 y server port 80).
Creo que estos dos mejor no tocar, porque tengo reset botton roto, y si las desactivo, no podre configurar ni resetar mi querido NanoStation ?
Gracias, estoy con mi musicita, no te visito mucho 
Desconectado
#4 29-05-2016 23:46:48
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 4,651
Re: Oleada de ataque contra ubiquiti: España en el corazón de la tormenta
offtopic :
¿Que haces como musicita? ¿Se puede escuchar? 
Me recomiendas quitar estas marcas tambien
logicamente el update que has hecho batsa
Web Server enable y HTTPS enable (los puertos Secure Server Port 443 y server port 80).
Esto dejalo abierto solo en local, no "abierto sobre el exetrior"
No conozco air os pero supongo que lo de tener la interfaz abierta sobre el exterior se llamará "remote managment" o algo si.
Yo dejaría el web server habilitado, lo que no haría es habilitar el "remote management" que fue usado por el gusano y de todo modo... ¿Para que quiero manejar mi interfaz fuera de la red local? ¿para salir en la web de los rusos?
Gracias, estoy con mi musicita, no te visito mucho
¡Viva la música! No hay nada mejor en el mundo 
Desconectado
Anuncio
Temas similares
| Tema | Respuestas | Vistas | Ultimo mensaje |
|---|---|---|---|
|
Pegado: |
99 | 89382 | Hoy 18:04:17 por kcdtv |
|
Pegado: |
388 | 116144 | Hoy 16:16:12 por marsa |
|
Collection #1 por josep345
|
0 | 51 | Hoy 11:01:29 por josep345 |
|
Kingston Data Traveler 3.0 por josep345
|
7 | 255 | Ayer 21:16:52 por josep345 |
| 5 | 128 | Ayer 02:59:22 por javierbu |
Información del usuario
Ultimo usuario registrado: marsa
Usuarios registrados conectados: 0
Invitados conectados: 17
Estadisticas de los foros
Número total de usuarios registrados: 1,350
Número total de temas: 1,246
Número total de mensajes: 12,839
Atom tema feed - Impulsado por FluxBB
