Varování před útokem na Ubiquiti jednotky!!!

16. května 2016 v 10:24 | Michal |  Telekomunikace
V poslední době obdrželo Ubiquiti několik zpráv o napadení systému airOS na neaktualizovaných zařízeních. Jedná se o HTTP/HTTPS malware, který útočí převážně na starší zařízení bez aktuálního firmwaru. Vir nevyžaduje ověření, infikuje i zaheslované zařízení. První napadá jednotky s veřejnou IP adresou a pak se šíří dál do sítě.

Příznaky:
- Nefunkční webové rozhraní. Není možné se přihlásit přes WEB, ale je možné se přihlásit přes SSH starým uživatelským jménem/heslem. Jednotky v režimu bridge (většinou P2P)...lze odvirovat vzdáleně.

- Funkční webové rozhraní, ale není možné se přihlásit starým uživatelským jménem a heslem. Jednotky v režimu router (většinou klienti)... Zkuste se přihlásit pod loginem mother/ heslo fucker. Po přihlášení upgradujte na novější firmware. Po resetu má jednotka původní login i heslo.

- Nefunguje webové rozhraní ani SSH či telnet. Jednotky v režimu bridge (většinouP2P)...NELZE odvirovat vzdáleně a snaží se nakazit další UBNT jednotky v síti.

- Jednotka je odpojená a má nastavené defaultní hodnoty "tovární nastavení". Jednotky v režimu router (většinou klienti). Nastavte na vysílači SSID "UBNT" bez šifrování a postupným povolováním MAC adres klientů, můžete jednotky opět připojit a aktualizovat.

- Jednotka je odpojená a má nastavené jiné než naše a defaultní hodnoty. Jednotky v režimu router (většinou klienti)...NELZE odvirovat vzdáleně.

Zařízení a verze firmwarů, kterých se to netýká:

5.5.11 XM/TI
5.5.10u2 XM/XW
5.6.2+ XM/XW/TI

7.1.3+

1.3.2

1.1.5+

2.2.1+ AF24/AF24HD
3.0.2.1+ AF5x

airOS 802.11G (např. Nanostation 5, Nanostation Loco 5)
4.0.4

Jak zjistit, že je jednotka opravdu nakažená?

Po přihlášení do jednotky přes SSH a vypsání běžících procesů příkazem "top" je vidět podrobný výpis, kde jsou procesy jako "mother", "sleep" nebo "search"

Mem: 27252K used, 34872K free, 0K shrd, 1516K buff, 6972K cached
CPU: 13% usr 15% sys 0% nice 63% idle 0% io 0% irq 8% softirq
Load average: 0.92 0.75 0.70
PID PPID USER STAT VSZ %MEM %CPU COMMAND
535 1 USERXY S 2044 3% 1% /bin/sh /etc/persistent/.mf/search 25
533 1 USERXY S 2048 3% 0% /bin/sh /etc/persistent/.mf/search 7
532 1 USERXY S 2048 3% 0% /bin/sh /etc/persistent/.mf/search
534 1 USERXY S 2044 3% 0% /bin/sh /etc/persistent/.mf/search 0
23716 22649 USERXY R 1976 3% 0% top
22431 552 USERXY S 2064 3% 0% /bin/dropbear -F -d /etc/persistent/d
3 2 USERXY SW 0 0% 0% [ksoftirqd/0]
548 1 USERXY S 7096 11% 0% /bin/infctld -m -c
24673 24672 USERXY S 4040 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 334.3
24652 24651 USERXY S 4040 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 263.1
24729 24728 USERXY S 4040 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 241.2
24701 24700 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 17.56
24687 24686 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 35.57
24743 24742 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 10.0.
24694 24693 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 10.0.
24680 24679 USERXY S 4036 6% 0% ./curl -s -L -k -c /tmp/ac -m 3 10.41
551 1 USERXY S 3896 6% 0% /bin/lighttpd -D -f /etc/lighttpd.con
22649 22431 USERXY S 2848 5% 0% -sh
21956 552 USERXY S 2064 3% 0% /bin/dropbear -F -d /etc/persistent/d
552 1 USERXY S 2000 3% 0% /bin/dropbear -F -d /etc/persistent/d

Odvirování je možné buď ručně přes SSH příkaz a nahráním nového firmware:
kill -9 $(pgrep mother);kill -9 $(pgrep search); kill -9 $(pgrep sleep);rm /tmp/*.bin;rm /etc/persistent/mf.tar;rm /etc/persistent/rc.poststart;
rm -R /etc/persistent/.mf;cfgmtd -p /etc/persistent/ -w;reboot

nebo můžete použít aplikaci od UBNT:
Tento nástroj vyžaduje Javu. Vyhledá a odstraní škodlivý kód a umožní vám nahrát novější firmware 5.6.5.



Firmware 5.6.5:
Pozor firmware odstraní všechny rc.scripts a možnost jejich použití. Například není možné používat compliance test. Viz změny níže:

- New: Disable custom scripts usage
- New: Enable syslog by default
- Fix: Security updates (malware scripts check and removal)

Aktuální firmware pro zařízení Ubiquiti stahujte v popisu produktu.

Pokud se virus již šíří Vaší sítí, je potřeba zablokovat přistup na webové rozhraní jednotek např. firewallem na vysílači a mít aktivní izolování klientů, aby nemohli komunikovat klienti mezi sebou v rámci AP a vzájemně se nakazit virem.

Jak nahrát opravný nástroj z adresáře ve Windows:

1) Stáhnout CureMalware-0.8.jar
2) Spustit příkazovou řádku (viz příklad obrázek níže)
3) Změňte adresář napsáním příkazu cd .. dvakrát
4) Dostaňte se do adresáře Downloads. Cesta se může lišit dle systému Windows.
5) Napište: java -jar CureMalware-0.8.jar

Příklad níže.

Upgradujte Vaší síť s novinkami Ubiquiti

Unikátní technologie, stabilní a bezpečné bezdrátové spoje s vysokou propustností a lepší odolností vůči rušení. Nezůstávejte pozadu, dopřejte svým zákazníkům to nejlepší. Investujte do současnosti a budoucnosti s jednotkami airMAX AC, EdgePoint a AirFiber.

 

1 člověk ohodnotil tento článek.

Komentáře

1 Pato Pato | E-mail | 16. května 2016 v 12:48 | Reagovat

ma to nejaku suvislost s CRM point modulom, lebo v sieti kde to namam sa nic nestalo a tam kde je crm sa zresetovali radia. Dakujem za odpoved.

2 i4wifi i4wifi | 16. května 2016 v 14:00 | Reagovat

Dobrý den,
CRM point by neměl mít souvislost s šířením malwaru. Rozhodně doporučujeme upgrade nezasažené sítě na zmiňovaný firmware 5.6.5.

3 whiteagle whiteagle | 16. května 2016 v 16:30 | Reagovat

5.5.10u2 XW je tedy napadnutelná? Není to divné, že s tou samou verzí je 5.5.10u2-XM v pořádku?

4 i4wifi i4wifi | 16. května 2016 v 16:41 | Reagovat

Děkujeme za poznámku, upraveno. Verze5.5.10u2 XW by měla být dle Ubiquiti v pořádku.

5 čtenář čtenář | 17. května 2016 v 17:28 | Reagovat

Proč není „veselo” i v sítích používající zařízení MikroTik? U UBNT už je to podruhý co jsem zaregistroval na internetu, že jim zařízení začaly žít vlastním životem.

6 Radek Radek | E-mail | 17. května 2016 v 21:05 | Reagovat

Dobry den nejsem znalec IT technologii, muzete mi prosim rict co virus konkretne napada? Je mozne ze i napadne internetove bankovnictvi? Dekuji

7 Michal Michal | 18. května 2016 v 9:36 | Reagovat

Dobrý den,
malware infikoval pouze zařízení s neaktualizovaným systémem airOS, příznaky škodlivého kódu jsou napsané v článku výše. Na internetové bankovnictví nemá vliv. Zkomplikoval práci hlavně poskytovatelům bezdrátového internetu. Dobrá zpráva je, že většina ISP již problém vyřešila novým firmwarem.

8 Jarda Jarda | E-mail | 18. května 2016 v 18:49 | Reagovat

Bude aktualizace FW i pro NanoStation 5?

Na webu Ubiquity je už v "Legacy" produktech a poslední FW je z léta 2015.

9 Lukáš Lukáš | 18. května 2016 v 19:32 | Reagovat

Dobrý den, dají se odvirovat všechna zařízení? U nás je tento problém také a zrovna mojí jednotku se technikům nepodařilo rozchodit (vůbec se k ní nebyli schopni připojit)! Vyřešili to novým zařízením, které mám zaplatit. Poradí někdo, jak na ně? Děkuji.

10 čtenář čtenář | 18. května 2016 v 21:33 | Reagovat

[9]: Jasně, že dá, jen tě chtějí pumpnout o korunky nebo je technik traktorista. Nacpat tam firmware jde stejným způsobem jak se cpe firmware jiných autorů do krabiček typu Airlive, Straightcore, UBNT, Linksys a jiných, přes tlačítko reset a TFTP. Čas práce asi pět minut.

11 Tydyt Tydyt | 19. května 2016 v 7:44 | Reagovat

Odvirovat se jistě dají, ale jak jakožto běžný uživatel jste poznal že je zavirovaný a ne pokažený. Já jsem již měnil několik zařízení a to se o tomto viru ani nevědělo .... A vzhledem k tomu jak píšete že se k němu nedalo vůbec připojit, tak to svědčí o technickém problému. K zavirovanému se nedá přihlásit.

12 majel majel | 19. května 2016 v 8:57 | Reagovat

[5]: Stejná otázka by se dala položit u OP proč je tolik virů na windows a na linux ne? rozdíl je v počtech.

13 i4wifi i4wifi | 19. května 2016 v 9:17 | Reagovat

Na odstranění viru můžete použít i aplikaci pro Android
https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval

14 Star Star | 19. května 2016 v 22:11 | Reagovat

FW 5.5.10u2 je tedy nenapadnutelný, chápu tedy dobře, že jednotky s FW 5.5.10 (bez u2) napadnutelné jsou? Co je u2, druhý update 5.5.10?

15 Pavel- Pavel- | 20. května 2016 v 8:39 | Reagovat

Víte někdo zda se to týká i starších jednotek? Nano2 a Nano5, nemyslím M verze.

16 Matěj Matěj | E-mail | 20. května 2016 v 15:54 | Reagovat

Už přes týden mi nefunguje internet a můj poskytovatel s tím pravděpodobně nic moc nedělá,i přes to,že jsem volal na linku a posílal mail,takže jsem se vrhnul do googlení jak se s tímhle problémem vypořádat sám.zatím jsem narazil prakticky na jeden a ten samý článek nebo vlákno z ubnt fora a případá mi,že na tohle budu asi krátkej.Po případě kdyby se někdo ochotný našel a podrobně vysvětlil postup při odstranění viru z routeru?

17 i4wifi i4wifi | 23. května 2016 v 11:44 | Reagovat

[15]: Starý FW pro NanoStation 5 má jinou řadu firmware a není potřeba aktualizovat. Neobsahují chybu jako jednotky M5.

18 Potter Potter | E-mail | 25. května 2016 v 22:16 | Reagovat

[17]: U nas sa virus prejavil tak, ze na Nanistation M5 s firmware 5.5.9 zmenil u zakaznikov nastavenie zo Station na Access point a zaroven zmenil SSID siete na motherfucker. Tym padom sa do abteny neda dostat z vonku a da sa to odstranit len pripojenim sa priamo k antene. Ostatne nastavenia ako LAN, PPPoE, hesla do anteny ostali, takze sa staci cez ethernet pripojit k antene, zmenit SSID na povodne, zmenit AP na Station (v zalozke wirelless), zmenit firmware na 5.6.5 a malo by sa spojrnie znova obnovit. Lenze mi to robime pre istotu tak, ze zresetujem antenu do defaultnych vyrobnych nastavrni, stiahneme do anteny firmware 5.6.5 a znova nastavime ostatne udaje ako PPPoE konto, LAN, IP range atd. Len sa zrejme dost nachodime ku zakaznikom, kedze do zavirenych anten sme sa dnes nedostali. BTW vcera (24.5.16) o 16:20 nam zacalo zavirovat siet.

19 Jirka Jirka | 5. června 2016 v 14:47 | Reagovat

UBNT je srot vsech srotu, toto nema obdoby! Ne ze maji problem, vydaji FW 5.6.5-6. Jen nevime co je horsi. Jestli virus nebo FW tohoto typu. Zadate na AP freq a on si ji samovolne zmeni ? co to KUA je ? ok, date volbu freq list  s pozadovanym kanalem a jednotka Vam nezapne  WIFI cast vubec. Chcete odstranit vir globalne ? Idioti z UBNT udelaji nejakou jakoze  futuru v JAVE, v dobe kdy kazdy prohlizec JAVU vyrazuje. To je proste slatanina vsech slatanin. At jdou vazne do prdele !

20 Michal Michal | 7. června 2016 v 15:29 | Reagovat

Dobrý den,
použijte verzi 5.5.10u2 nebo 5.5.11 je bezpečná a DFS funguje. Jako registrovaný beta tester můžete zkusit i betu v6. Vydaní posledního fw bylo za daných okolností dost na rychlo, mějte pochopení, s dalším releasem budou chybky odstraněny.
Ubiquiti není jediná společnost na světě, která nabízí bezdrátové jednotky. Pokud vám nevyhovují doporučuji se porozhlédnout po alternativě například Mikrotik.

21 cialis cialis | E-mail | Web | 23. července 2016 v 5:50 | Reagovat

Hello!

22 Dehan Dehan | E-mail | Web | 5. srpna 2016 v 8:45 | Reagovat

Thank you for the information

23 Smithe282 Smithe282 | E-mail | Web | 12. srpna 2016 v 23:07 | Reagovat

Android Game Development takes more than knowledge fedgdfedbecddcga

24 Pharmb389 Pharmb389 | E-mail | Web | 13. srpna 2016 v 12:32 | Reagovat

Very nice site! <a href="http://aieopxy2.com/ososyqv/1.html">cheap goods</a>

25 Pharmf809 Pharmf809 | E-mail | Web | 13. srpna 2016 v 12:34 | Reagovat

Very nice site! cheap goods http://aieopxy2.com/ososyqv/4.html

26 Pharmf262 Pharmf262 | E-mail | Web | 13. srpna 2016 v 12:35 | Reagovat

Very nice site!

27 10 10 | E-mail | Web | 7. září 2016 v 0:03 | Reagovat

Exclusively at Target 42 Bluray Combo Pack with exclusive

28 generic_cialis generic_cialis | E-mail | Web | 28. září 2016 v 21:49 | Reagovat

Hi, Neat post. There's a problem with your site in internet explorer, would test this IE still is the market leader and a good portion of people will miss your excellent writing because of this problem.

29 Smithf729 Smithf729 | E-mail | Web | 14. října 2016 v 1:43 | Reagovat

When I originally commented I clicked the Notify me when new comments are added checkbox and now every time a comment is added I get 4 emails using the same comment. Is there any way you may take away me from that service? Thanks! ffgbcbdgkdeebede

30 Smithd128 Smithd128 | E-mail | Web | 10. listopadu 2016 v 1:13 | Reagovat

I just like the helpful info you supply on your articles. I will bookmark your blog and take a look at once more here regularly. I'm somewhat sure Ill learn a lot of new stuff right right here! Best of luck for the following! fffbekadbgggddbf

31 Smithd697 Smithd697 | E-mail | Web | 17. ledna 2017 v 11:40 | Reagovat

cheers for the actual article i've recently been on the lookout with regard to this kind of advice on the net for sum time proper now so numerous thanks degfffgaddbcccfa

32 viagra viagra | E-mail | Web | 18. ledna 2017 v 23:20 | Reagovat

Hello!

33 Smithk750 Smithk750 | E-mail | Web | 6. března 2017 v 3:02 | Reagovat

griseofulvin isoelectric point cekddecdkkefcfcf

34 Smithe707 Smithe707 | E-mail | Web | 6. března 2017 v 3:46 | Reagovat

Hi there. Merely desired to question an instant dilemma. dedadccbgbkeeead

35 Smithd720 Smithd720 | E-mail | Web | 30. března 2017 v 7:49 | Reagovat

Once I initially commented I clicked the Notify me when new feedback are added checkbox and now each time a remark is added I get four emails with the same comment. Is there any way you possibly can remove me from that service? Thanks! cebeeggfddgcfcda

36 viagra viagra | E-mail | Web | 31. března 2017 v 0:17 | Reagovat

Hello!

37 online online | E-mail | Web | 10. dubna 2017 v 23:26 | Reagovat

Thanksamundo for the post.Really thank you! Awesome.

38 cialis_online cialis_online | E-mail | Web | 15. dubna 2017 v 4:34 | Reagovat

You are a really persuasive writer. I can see this in your writeup. You've a way of writing compelling info that sparks significantly interest.

39 cialis_generic cialis_generic | E-mail | Web | 20. dubna 2017 v 8:52 | Reagovat

Magnificent website. Lots of useful information here. Im sending it to some friends ans also sharing in delicious. And obviously, thanks for your sweat!

40 cheap_cialis cheap_cialis | E-mail | Web | 22. dubna 2017 v 6:24 | Reagovat

Thanks so much for sharing this excellent info! I'm seeking forward to see much more posts!

41 viagra viagra | E-mail | Web | 23. dubna 2017 v 17:27 | Reagovat

Because here is a list of multiplayer games

42 Cialisbiows Cialisbiows | E-mail | Web | 23. dubna 2017 v 19:52 | Reagovat

cialis xanax

      <a href=http://cialisforsalenrx.com/>cialis generic</a>

    <a href="http://cialisforsalenrx.com/">cheap cialis</a>

    cialis en tres dias

43 viagra viagra | E-mail | Web | 27. dubna 2017 v 23:49 | Reagovat

Where To Purchase Generic Ciprofloxacin 0.3 5ml in Albuquerque

44 viagra viagra | E-mail | Web | 29. dubna 2017 v 21:56 | Reagovat

I was very pleased to discover this website. I wanted to thank you for your time for this fantastic read!!

45 Moisesbiows Moisesbiows | E-mail | Web | 1. května 2017 v 1:57 | Reagovat

viagra para distrofia muscular

      http://viagrasaleznp.com/ - viagra online

    <a href="http://viagrasaleznp.com/">generic viagra</a>

    enter site viagra of pfizer

46 Moisesbiows Moisesbiows | E-mail | Web | 7. května 2017 v 2:05 | Reagovat

get a personal loan in massachusetts

      <a href=http://bestpaydaynpz.com/>cash advance</a>

    <a href="http://bestpaydaynpz.com/">cash advance</a>

    cash picture

47 payday payday | E-mail | Web | 19. května 2017 v 19:40 | Reagovat

Im grateful for the blog article.Much thanks again. Cool.

48 cheap_cialis cheap_cialis | E-mail | Web | 19. května 2017 v 19:40 | Reagovat

Hello!

49 cialis cialis | E-mail | Web | 20. května 2017 v 14:46 | Reagovat

A big thank you for your article.Really thank you! Cool.

50 buy buy | E-mail | Web | 22. května 2017 v 11:39 | Reagovat

griseofulvin isoelectric point

51 cialis cialis | E-mail | Web | 23. května 2017 v 1:58 | Reagovat

I  conceive this website   has got  some  rattling  superb  info  for everyone. Dealing with network executives is like being nibbled to death by ducks. by Eric Sevareid.

52 for for | E-mail | Web | 28. května 2017 v 1:55 | Reagovat

Howdy! I basically would like to give a huge thumbs up for the good data you've got here on this post. I will probably be coming once again to your weblog for far more soon.

53 cilais_price cilais_price | E-mail | Web | 28. května 2017 v 7:32 | Reagovat

Hello there, I discovered your website by the use of Google while looking for a related subject, your web site came up, it seems good. I have bookmarked it in my google bookmarks.

54 discount_cialis discount_cialis | E-mail | Web | 30. května 2017 v 20:30 | Reagovat

This is why Facebook games are becoming more popular. The ease of use and dissemination of content, tagging

55 cialis cialis | E-mail | Web | 31. května 2017 v 6:23 | Reagovat

Because here is a list of multiplayer games is

56 cialis cialis | E-mail | Web | 31. května 2017 v 6:24 | Reagovat

Hello!

57 XRumerTest XRumerTest | E-mail | 31. května 2017 v 6:32 | Reagovat

Hello. And Bye.

58 personal_loan personal_loan | E-mail | Web | 31. května 2017 v 10:53 | Reagovat

It's actually a great and helpful piece of information. I am glad that you just shared this useful information with us. Please stay us up to date like this. Thank you for sharing.

59 Alexeybiows Alexeybiows | E-mail | Web | 2. června 2017 v 14:54 | Reagovat

try it cialis usa

      http://cialis10mgonlinez.com/ - generic cialis online

    <a href="http://cialis10mgonlinez.com/">buy generic cialis</a>

    best pharmacy prices cialis

60 viagra_online viagra_online | E-mail | Web | 4. června 2017 v 12:15 | Reagovat

You completed a number of fine points there. I did a search on the theme and found the majority of folks will agree with your blog.

61 buy_cialis buy_cialis | E-mail | Web | 7. června 2017 v 12:00 | Reagovat

I have observed that in the world these days, video games include the latest popularity with kids of all ages. Periodically it may be extremely hard to drag the kids away from the games. If you want the best of both worlds, there are plenty of educational games for kids. Great post.

62 viagra viagra | E-mail | Web | 19. června 2017 v 6:28 | Reagovat

You produced some decent points there. I looked on the net to the problem and discovered many people goes together with along along with your web site.

63 from from | E-mail | Web | 22. června 2017 v 1:25 | Reagovat

Id  forever  want to be update on new  articles  on this  internet site, bookmarked ! .

64 loans loans | E-mail | Web | 27. června 2017 v 12:41 | Reagovat

I really like your writing style, fantastic information, thanks for putting up

65 advance advance | E-mail | Web | 29. června 2017 v 14:23 | Reagovat

Appreciate you sharing, great blog post.Thanks Again. Really Cool.

66 Sashabiows Sashabiows | E-mail | Web | 13. července 2017 v 20:38 | Reagovat

cialis2.5mg

      http://genericadcialis.com/ - cheap cialis

    <a href="http://genericadcialis.com/">cheap cialis online</a>

    cialis blutverdunnend

67 cheap_viagra cheap_viagra | E-mail | Web | 16. července 2017 v 6:49 | Reagovat

Your goal is to breed all the different dragons available

68 tribal tribal | E-mail | Web | 19. července 2017 v 11:25 | Reagovat

1000s of Show Gambler, since the Lastly associated with Sept ..

69 cialis cialis | E-mail | Web | 31. července 2017 v 14:07 | Reagovat

I genuinely enjoy studying on this website, it holds good content. Never fight an inanimate object. by P. J. O'Rourke.

70 Refolbiows Refolbiows | E-mail | Web | 4. srpna 2017 v 22:28 | Reagovat

where to buy viagra usa best

      http://buycheapviagralk.com/ -  buy viagra

    <a href="http://buycheapviagralk.com/"> generic viagra</a>

    online pharmacy viagra cialis

71 Refolbiows Refolbiows | E-mail | Web | 5. srpna 2017 v 9:12 | Reagovat

skip to similar viagra

      http://buycheapviagralk.com/ -  viagra online

    <a href="http://buycheapviagralk.com/"> viagra coupon</a>

    buy viagra pharmacy shop

72 personal_loans personal_loans | E-mail | Web | 5. srpna 2017 v 22:08 | Reagovat

Hey, thanks for the blog article.Really looking forward to read more. Much obliged.

73 buy_viagra buy_viagra | E-mail | Web | 8. srpna 2017 v 4:31 | Reagovat

Usually I do not read writeup on blogs, nevertheless I wish to say that this writeup extremely forced me to take a look at and do so! Your writing taste has been amazed me. Thanks, really wonderful post.

74 cialis cialis | E-mail | Web | 9. srpna 2017 v 4:22 | Reagovat

This is why Facebook games are becoming more popular. The ease of use and dissemination of content, tagging

Nový komentář

Přihlásit se
  Ještě nemáte vlastní web? Můžete si jej zdarma založit na Blog.cz.
 

Aktuální články

Reklama