Отакованы вайфай устройства

datac

Ровный
Мес†ный
Регистрация
15 Апр 2015
Сообщения
2.438
Репутация
1.052
Реакции
4.567
Правда и вымысел о вирусе на Ubiquiti
АВТОР: VALERIJ_BUREC

Многие слышали о вирусе на Ubiquiti. Но, как известно, слухи часто искажают информацию, а использование некоторых пользовательских прошивок может навредить вашему оборудованию больше, чем сам вирус. В данной статье мы предоставим полную информацию из официальных источников, чтобы посетители сайта ASP24 имели возможность, воспользовавшись проверенными данными, надёжно защитить своё оборудование.

AirOS Security Exploit – Updated Firmware

Из сообщения на форуме от 12-19-2011:

В AirOS есть уязвимость безопасности.

POST № 1

Привет всем!

Сегодня мы обнаружили уязвимость, которая может предоставить удаленным пользователям административный доступ к оборудованию Ubiquiti с AirOS v3/4 и AirOS v5, без выполнения проверки подлинности.

Мы быстро исправили эту ошибку и выпустили обновление микропрограммы с заплаткой этой уязвимости. Вы можете найти обновление микропрограммы здесь: https://ubnt.com/support/Downloads

Предупреждение: Пользовательские прошивки, предоставляемые другими пользователями форума, используйте на свой страх и риск.

Уязвимые версии:

  • 802.11 Продукция – AirOS v3.6.1/v4.0 (предыдущие версии не уязвимы)

  • AirMax продукция – AirOS v5.x (все версии)
Обновленные версии:

  • v4.0.1 – 802.11 продукции для ISP

  • V5.3.5 – AirMax продукции для ISP

  • V5.4.5 – AirSync прошивки.
Мы рекомендуем всем владельцам устройств AirOS публично (через https) обновить прошивки как можно скорее, чтобы предотвратить попытки взлома. Если у вас есть какие-либо вопросы или требуются предыдущие версии микропрограммы, пожалуйста, напишите нам (support@ubnt.com).

Также мы разрабатываем утилиту для удаления червя. Для получения дополнительной информации, смотрите следующие несколько постов форума.

POST № 2

Привет всем!

Существует два способа:

  1. Уязвимость https-сервера, которая позволяет пользователям обходить проверку подлинности и выполнять команды.

  2. Червь, который использует пункт № 1 для своего распространения.
Новая прошивка предотвращает пункт № 1, который также предотвращает № 2.

Если червь уже присутствует, он выполнит следующие действия:

  1. Переименует admin.cgi в adm.cgi (можно проверить веб-браузером после входа в систему)

  2. Создаст сценарий запуска в /etc/persistent (можете проверить, выполнив команду:
ls -la /etc/persistent и найдёте там файл .skynet)

Мы работаем над патчем, который будет удалять червя, но вот как можно сделать это вручную:

  1. подключаемся по SSH к устройству

  2. cd /etc/persistent

  3. rm rc.poststart

  4. rm -rf .skynet

  5. cfgmtd -w -p /etc/

  6. reboot
Это не помешает червю снова вернуться, для предотвращения этого Вам потребуется обновить микропрограмму.

POST № 3

Мы разработали утилиту для удаления / исправления для всех устройств, которые могут быть заражены червем. Это позволит удалить все вхождения червя, и, при желании, автоматически обновить прошивку.

Утилиту Вы можете найти здесь:

https://dl.ubnt.com/XN-fw-internal/tools/CureSkynetMalware-0.4.jar
MD5 (CureSkynetMalware-0.4.jar) = 9310926b691b7f95e0ba2c973a5d09c2


Внимание!: Утилиты удаления Skynet, предоставляемые другими пользователями (посредством электронной почты, загруженные с ubnt.com неофициальных сайтов и т.д.) используйте на свой страх и риск, и будьте в курсе, что это может быть новый вирус.

Вот пример использования:

Цитата:

$ java -jar CureSkynetMalware.jar
Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 10.100.10.2-10.100.10.3
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 2
Enter ssh port [22]: 22
Enter user name: ubnt
Reuse password <y|n>: y
Processing ubnt@10.100.10.2:22 …
Password for ubnt@10.100.10.2:
Checking…

Утилита будет работать как для V4 так и для V5 прошивок. Если у вас возникли вопросы, пожалуйста, сообщите нам об этом.

EDIT – обновлено до версии v0.4. Иногда, после исправления и обновления устройства, оно становилось недоступно.

POST № 4

Если в устройствах уже есть червь, вы можете исправить их массово через AirControl:

https://ubnt.com/wiki/AirControl#Execute.2FSchedule_Device_Operations

  1. В AirControl выбрать сразу несколько устройств

  2. Нажатием на правую кнопку мыши выбрать пункт Tasks/Operations

  3. Выберите пункт «Execute Command»

  4. В поле команды, введите:

    rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;

  5. Нажмите Done
P.S. Мне очень сильно напомнил принцип действия Sasser (https://ru.wikipedia.org/wiki/Sasser), который в своё время тоже заразил кучу компьютеров, и Microsoft в срочном порядке так же выпускала заплатки для него.

Перевод и комментарии Валерия Бурца.
 
НА ЛЮНЕКС ВИРУСОВ НЕТ - да вот пожалуйста
Борьба с 'вирусами' на Ubiquiti устройствах
Введение
В процессе..

Лечение
Заход на устройство

#
moth3/fucker
moth3r/fucker
moth3r/fuck.3r
Остановка всех сервисов вируса

killall -9 mother sprd infect curl
Очистка /etc/persistent/ и немедленная перезагрузка устройства

cfgmtd -w; reboot -f
Внешние ссылки
  • Поймали вирус на UBNT? Тогда вам сюда
  • Вирус на устройствах Ubiquiti Networks
  • ВАЖНО! Вирус атакует устройства UBIQUITI
  • Старые прошивки AirOS Ubiquiti поражаются вирусом
  • Важная информация о вирусной атаке на оборудование Ubiquiti
  • Ubiquiti Вирус Skynet. Решение проблемы.
  • Правда и вымысел о вирусе на Ubiquiti
  • Информация о Skynet vs ubnt
  • -
  • Malware Removal Tool 05-15-2016
  • Virus attack – URGENT @UBNT
  • Re: Virus atack v2
  • UBNT vírus útok
 
Назад
Сверху Снизу