[h]Un “virus de alcance global” se propaga en equipos Ubiquiti de España desde este fin de semana[/h]
Pánico completo este fin de semana en las comunidades de usuarios de Ubiquiti.
Todo indica que el ataque ha empezado este viernes 13 (los piratas tienen sentido del humor) ya que el malware iverna unas 18 horas en el equipo contaminado antes de activarse y que es este fin de semana que han empezado a hacerse sentir sus efectos.
Según el sitio “Sin cables” España fue/es particularmente afectada :
- Ataque masivo a equipos Ubiquiti de overdrv @ Sin Cables/*]
El virus afecta a los dispositivos que gastan el firmware/sistema operativo AirOs 5.6.1 y legacy 4.0.3
Se tratan de unas versiones algo desfasadas
Las brechas explotadas por el malware eran conocidas desde tiempo y fueron corregidas por el fabricante en las versiones posteriores de los softwares.
Los que no se enteraron y/o no han actualizado su firmware quedaron desprotegidos.
[h]Un malware travieso[/h]
Afortunadamente para ellos no es un virus “chungo” pero más bien una “bromita”.
Lo que hace el virus (tras quedarse quieto 18 horas) es simplemente “resetear” el equipo a nivel de fabrica con lo cuál el usuario pierde su conexión a Internet y debe re-configurar por completo su dispositivo.
Un mal menor que tiene el merito de obligar estos usuarios a actualizar su firmware.
El virus explota unas brechas desveladas hace un año atrás.
Unas de ellas lo fueron por el maestro Stefan Viehböck (el que desveló al mundo la brecha WPS) y la verdad es que son bastante groseras para un material tan carro y con tanta fama : Puertos abiertos sobre el exterior, credenciales genéricos “hardcoded” (imposibles de modificar o deshabilitar)… parece que ubiquiti ha contratado a los informaticos de ZTE o Huawei para hacer su airOS :rolleyes:
- Insecure default configuration by Stefan Viehböck/*]
El modus operandi es el siguiente :
El hecho de que se quede quieto 18 horas y usa los equipos infectados para propagarse a otros explica porque ha tenido bastante impacto.
Era de esperar que unos usuarios aislados no hayan actualizado su dispositivo.
Lo más sorprendente (¿lamentable?) es que unos cuantos WISP no hayan actualizado los firmwares de sus dispositivos en un año.
¡Vagos! 
[h]Soluciones[/h]
Por suerte la respuesta ha sido inmediata gracias (no solo) a un equipo formado por Pedro Gracia (Impulzia), Franscisco Hidalgo (IB-Red) y Víctor De La Nuez (WiFi Canarias). Han publicado un script para eliminar la infección que no tiene nada de complicado.
Podemos hacerlo nosotros mismo con un par de lineas de ordenes bash
Esta es el plan :
- Desinfección
cd /etc/persistent/ # Nos situamos en el directorio /etc/persistent
rm mf.tar # Borramos el “código fuente” del virus (mf.tar)
rm rc.poststart # Borramos el script malicioso
rm -R .mf # Borramos del todo y de forma recursiva el directorio “escondido” .mf
cfgmtd -p /etc/persistent/ -w # Usamos el comando cfgmtd para modificar la NVRAM
reboot # Reiniciar el equipo
Sino hay un script para hacer esto aqui/*] - Actualización
Luego lo primero que se debe hacer es descargar y instalar la ultima versión del firmware para su CPE ubiquiti. (AirOS esta en su versión 5.6.5 en este momento ). Obviamente debemos descargar el firmware unicamente desde la pagina focial ubiquiti/*] - Prevención
Cambiar los puertos asignados por defecto a la gestión remota (SSH, telnet, ftp etc…) y sobre todo cerrar los sobre el exterior (uso solo en local)/*]
(el virus se lama **mf ** = mother fucker ) para crear una cuenta con derechos de administrador con su llave de acceso SSH.
