Varování před útokem na Ubiquiti jednotky!!!
16.05.2016 10:24
V poslední době obdrželo Ubiquiti několik zpráv o napadení systému airOS na neaktualizovaných zařízeních. Jedná se o HTTP/HTTPS malware, který útočí převážně na starší zařízení bez aktuálního firmwaru. Vir nevyžaduje ověření, infikuje i zaheslované zařízení. První napadá jednotky s veřejnou IP adresou a pak se šíří dál do sítě.

Příznaky:
- Nefunkční webové rozhraní. Není možné se přihlásit přes WEB, ale je možné se přihlásit přes SSH starým uživatelským jménem/heslem. Jednotky v režimu bridge (většinou P2P)...lze odvirovat vzdáleně.

- Funkční webové rozhraní, ale není možné se přihlásit starým uživatelským jménem a heslem. Jednotky v režimu router (většinou klienti)... Zkuste se přihlásit pod loginem mother/ heslo fucker. Po přihlášení upgradujte na novější firmware. Po resetu má jednotka původní login i heslo.

- Nefunguje webové rozhraní ani SSH či telnet. Jednotky v režimu bridge (většinouP2P)...NELZE odvirovat vzdáleně a snaží se nakazit další UBNT jednotky v síti.

- Jednotka je odpojená a má nastavené defaultní hodnoty "tovární nastavení". Jednotky v režimu router (většinou klienti). Nastavte na vysílači SSID "UBNT" bez šifrování a postupným povolováním MAC adres klientů, můžete jednotky opět připojit a aktualizovat.

- Jednotka je odpojená a má nastavené jiné než naše a defaultní hodnoty. Jednotky v režimu router (většinou klienti)...NELZE odvirovat vzdáleně.

Zařízení a verze firmwarů, kterých se to netýká:

5.5.11 XM/TI
5.5.10u2 XM/XW
5.6.2+ XM/XW/TI

7.1.3+

1.3.2

1.1.5+

2.2.1+ AF24/AF24HD
3.0.2.1+ AF5x

airOS 802.11G (např. Nanostation 5, Nanostation Loco 5)
4.0.4

Jak zjistit, že je jednotka opravdu nakažená?

Po přihlášení do jednotky přes SSH a vypsání běžících procesů příkazem "top" je vidět podrobný výpis, kde jsou procesy jako "mother", "sleep" nebo "search"

Mem: 27252K used, 34872K free, 0K shrd, 1516K buff, 6972K cached
CPU: 13% usr 15% sys 0% nice 63% idle 0% io 0% irq 8% softirq
Load average: 0.92 0.75 0.70
PID PPID USER STAT VSZ %MEM %CPU COMMAND
535 1 USERXY S 2044 3% 1% /bin/sh /etc/persistent/.mf/search 25
533 1 USERXY S 2048 3% 0% /bin/sh /etc/persistent/.mf/search 7
532 1 USERXY S 2048 3% 0% /bin/sh /etc/persistent/.mf/search
534 1 USERXY S 2044 3% 0% /bin/sh /etc/persistent/.mf/search 0
23716 22649 USERXY R 1976 3% 0% top
22431 552 USERXY S 2064 3% 0% /bin/dropbear -F -d /etc/persistent/d
3 2 USERXY SW 0 0% 0% [ksoftirqd/0]
548 1 USERXY S 7096 11% 0% /bin/infctld -m -c
24673 24672 USERXY S 4040 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 334.3
24652 24651 USERXY S 4040 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 263.1
24729 24728 USERXY S 4040 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 241.2
24701 24700 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 17.56
24687 24686 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 35.57
24743 24742 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 10.0.
24694 24693 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 10.0.
24680 24679 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 10.41
551 1 USERXY S 3896 6% 0% /bin/lighttpd -D -f /etc/lighttpd.con
22649 22431 USERXY S 2848 5% 0% -sh
21956 552 USERXY S 2064 3% 0% /bin/dropbear -F -d /etc/persistent/d
552 1 USERXY S 2000 3% 0% /bin/dropbear -F -d /etc/persistent/d

Odvirování je možné buď ručně přes SSH příkaz a nahráním nového firmware:
kill -9 $(pgrep mother);kill -9 $(pgrep search); kill -9 $(pgrep sleep);rm /tmp/*.bin;rm /etc/persistent/mf.tar;rm /etc/persistent/rc.poststart;
rm -R /etc/persistent/.mf;cfgmtd -p /etc/persistent/ -w;reboot

nebo můžete použít aplikaci od UBNT:
Tento nástroj vyžaduje Javu. Vyhledá a odstraní škodlivý kód a umožní vám nahrát novější firmware 5.6.5.



Firmware 5.6.5:
Pozor firmware odstraní všechny rc.scripts a možnost jejich použití. Například není možné používat compliance test. Viz změny níže:

- New: Disable custom scripts usage
- New: Enable syslog by default
- Fix: Security updates (malware scripts check and removal)

Aktuální firmware pro zařízení Ubiquiti stahujte v popisu produktu.

Pokud se virus již šíří Vaší sítí, je potřeba zablokovat přistup na webové rozhraní jednotek např. firewallem na vysílači a mít aktivní izolování klientů, aby nemohli komunikovat klienti mezi sebou v rámci AP a vzájemně se nakazit virem.

Jak nahrát opravný nástroj z adresáře ve Windows:

1) Stáhnout CureMalware-0.8.jar
2) Spustit příkazovou řádku (viz příklad obrázek níže)
3) Změňte adresář napsáním příkazu cd .. dvakrát
4) Dostaňte se do adresáře Downloads. Cesta se může lišit dle systému Windows.
5) Napište: java -jar CureMalware-0.8.jar

Příklad níže.

Upgradujte Vaší síť s novinkami Ubiquiti

Unikátní technologie, stabilní a bezpečné bezdrátové spoje s vysokou propustností a lepší odolností vůči rušení. Nezůstávejte pozadu, dopřejte svým zákazníkům to nejlepší. Investujte do současnosti a budoucnosti s jednotkami airMAX AC, EdgePoint a AirFiber.

Odhlásit se?

Jste si jisti?

Nebudete moci objednávat zboží ani neuvidíte vaše ceny.

ODSTÁVKA SYSTÉMŮ! Vážení zákazníci, dne 17.11.2020 v čase od 0:00 do 02:00 bude náš eshop odstaven z důvodu plánované údržby.