Правда и вымысел о вирусе на Ubiquiti

Рейтинг
Оценка: 5Голосов: 7Комментарии: 8

Многие слышали о вирусе на Ubiquiti. Но, как известно, слухи часто искажают информацию, а использование некоторых пользовательских прошивок может навредить вашему оборудованию больше, чем сам вирус. В данной статье мы предоставим полную информацию из официальных источников, чтобы посетители сайта ASP24 имели возможность, воспользовавшись проверенными данными, надёжно защитить своё оборудование.

AirOS Security Exploit – Updated Firmware

Из сообщения на форуме от 12-19-2011:

В AirOS есть уязвимость безопасности.

POST № 1

Привет всем!

Сегодня мы обнаружили уязвимость, которая может предоставить удаленным пользователям административный доступ к оборудованию Ubiquiti с AirOS v3/4 и AirOS v5, без выполнения проверки подлинности.

Мы быстро исправили эту ошибку и выпустили обновление микропрограммы с заплаткой этой уязвимости. Вы можете найти обновление микропрограммы здесь: http://ubnt.com/support/Downloads

Предупреждение: Пользовательские прошивки, предоставляемые другими пользователями форума, используйте на свой страх и риск.

Уязвимые версии:

  • 802.11 Продукция – AirOS v3.6.1/v4.0 (предыдущие версии не уязвимы)

  • AirMax продукция – AirOS v5.x (все версии)

Обновленные версии:

  • v4.0.1 – 802.11 продукции для ISP

  • V5.3.5 – AirMax продукции для ISP

  • V5.4.5 – AirSync прошивки.

Мы рекомендуем всем владельцам устройств AirOS публично (через HTTP) обновить прошивки как можно скорее, чтобы предотвратить попытки взлома. Если у вас есть какие-либо вопросы или требуются предыдущие версии микропрограммы, пожалуйста, напишите нам (support@ubnt.com).

Также мы разрабатываем утилиту для удаления червя. Для получения дополнительной информации, смотрите следующие несколько постов форума.

POST № 2

Привет всем!

Существует два способа:

  1. Уязвимость HTTP-сервера, которая позволяет пользователям обходить проверку подлинности и выполнять команды.

  2. Червь, который использует пункт № 1 для своего распространения.

Новая прошивка предотвращает пункт № 1, который также предотвращает № 2.

Если червь уже присутствует, он выполнит следующие действия:

  1. Переименует admin.cgi в adm.cgi (можно проверить веб-браузером после входа в систему)

  2. Создаст сценарий запуска в /etc/persistent (можете проверить, выполнив команду:

ls -la /etc/persistent и найдёте там файл .skynet)

Мы работаем над патчем, который будет удалять червя, но вот как можно сделать это вручную:

  1. подключаемся по SSH к устройству

  2. cd /etc/persistent

  3. rm rc.poststart

  4. rm -rf .skynet

  5. cfgmtd -w -p /etc/

  6. reboot

Это не помешает червю снова вернуться, для предотвращения этого Вам потребуется обновить микропрограмму.

POST № 3

Мы разработали утилиту для удаления / исправления для всех устройств, которые могут быть заражены червем. Это позволит удалить все вхождения червя, и, при желании, автоматически обновить прошивку.

Утилиту Вы можете найти здесь:

http://dl.ubnt.com/XN-fw-internal/tools/CureSkynetMalware-0.4.jar
MD5 (CureSkynetMalware-0.4.jar) = 9310926b691b7f95e0ba2c973a5d09c2

Внимание!: Утилиты удаления Skynet, предоставляемые другими пользователями (посредством электронной почты, загруженные с ubnt.com неофициальных сайтов и т.д.) используйте на свой страх и риск, и будьте в курсе, что это может быть новый вирус.

Вот пример использования:

Цитата:

$ java -jar CureSkynetMalware.jar
Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 10.100.10.2-10.100.10.3
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 2
Enter ssh port [22]: 22
Enter user name: ubnt
Reuse password <y|n>: y
Processing ubnt@10.100.10.2:22 …
Password for ubnt@10.100.10.2:
Checking…

Утилита будет работать как для V4 так и для V5 прошивок. Если у вас возникли вопросы, пожалуйста, сообщите нам об этом.

EDIT – обновлено до версии v0.4. Иногда, после исправления и обновления устройства, оно становилось недоступно.

POST № 4

Если в устройствах уже есть червь, вы можете исправить их массово через AirControl:

http://ubnt.com/wiki/AirControl#Execute.2FSchedule_Device_Operations

  1. В AirControl выбрать сразу несколько устройств

  2. Нажатием на правую кнопку мыши выбрать пункт Tasks/Operations

  3. Выберите пункт «Execute Command»

  4. В поле команды, введите:

    rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;

  5. Нажмите Done

P.S. Мне очень сильно напомнил принцип действия Sasser (http://ru.wikipedia.org/wiki/Sasser), который в своё время тоже заразил кучу компьютеров, и Microsoft в срочном порядке так же выпускала заплатки для него.

Перевод и комментарии Валерия Бурца.

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да Отмена

Об авторе Valerij_Burec