Меню
Контакты
109147, Москва, ул.Воронцовская, 35Б, корп.2 офис.11, 4 этаж
Пн-Пт: с 9-00 до 17-00   Сб-вс: выходной
Интернет-магазин
сетевого оборудования
Москва +7 (495) 103-41-03 +7 (915) 420-28-94
109147, Москва, ул.Воронцовская, 35Б, корп.2 офис.11, 4 этаж
Пн-Пт: с 9-00 до 17-00   Сб-вс: выходной
Заказать звонок

Правда и вымысел о вирусе на Ubiquiti

 06 Июл 2012    Ubiquiti Networks, Полезные функции и другие возможности оборудования Ubiquiti

Многие слышали о вирусе на Ubiquiti. Но, как известно, слухи часто искажают информацию, а использование некоторых пользовательских прошивок может навредить вашему оборудованию больше, чем сам вирус. В данной статье мы предоставим полную информацию из официальных источников, чтобы посетители сайта ASP24 имели возможность, воспользовавшись проверенными данными, надёжно защитить своё оборудование.

 

AirOS Security Exploit - Updated Firmware

Из сообщения на форуме от 12-19-2011:

В AirOS есть уязвимость безопасности.

 

POST № 1

Привет всем!

Сегодня мы обнаружили уязвимость, которая может предоставить удаленным пользователям административный доступ к оборудованию Ubiquiti с AirOS v3/4 и AirOS v5, без выполнения проверки подлинности.

Мы быстро исправили эту ошибку и выпустили обновление микропрограммы с заплаткой этой уязвимости. Вы можете найти обновление микропрограммы здесь: https://ubnt.com/support/Downloads

Предупреждение: Пользовательские прошивки, предоставляемые другими пользователями форума, используйте на свой страх и риск.

Уязвимые версии:

  • 802.11 Продукция - AirOS v3.6.1/v4.0 (предыдущие версии не уязвимы)

  • AirMax продукция - AirOS v5.x (все версии)

Обновленные версии:

  • v4.0.1 - 802.11 продукции для ISP

  • V5.3.5 - AirMax продукции для ISP

  • V5.4.5 - AirSync прошивки.

Мы рекомендуем всем владельцам устройств AirOS публично (через HTTP) обновить прошивки как можно скорее, чтобы предотвратить попытки взлома. Если у вас есть какие-либо вопросы или требуются предыдущие версии микропрограммы, пожалуйста, напишите нам (support@ubnt.com).

Также мы разрабатываем утилиту для удаления червя. Для получения дополнительной информации, смотрите следующие несколько постов форума.

 

POST № 2

Привет всем!

Существует два способа:

  1. Уязвимость HTTP-сервера, которая позволяет пользователям обходить проверку подлинности и выполнять команды.

  2. Червь, который использует пункт № 1 для своего распространения.

Новая прошивка предотвращает пункт № 1, который также предотвращает № 2.

Если червь уже присутствует, он выполнит следующие действия:

  1. Переименует admin.cgi в adm.cgi (можно проверить веб-браузером после входа в систему)

  2. Создаст сценарий запуска в /etc/persistent (можете проверить, выполнив команду:

ls -la /etc/persistent и найдёте там файл .skynet)

Мы работаем над патчем, который будет удалять червя, но вот как можно сделать это вручную:

  1. подключаемся по SSH к устройству

  2. cd /etc/persistent

  3. rm rc.poststart

  4. rm -rf .skynet

  5. cfgmtd -w -p /etc/

  6. reboot

Это не помешает червю снова вернуться, для предотвращения этого Вам потребуется обновить микропрограмму.

 

POST № 3

Мы разработали утилиту для удаления / исправления для всех устройств, которые могут быть заражены червем. Это позволит удалить все вхождения червя, и, при желании, автоматически обновить прошивку.

Утилиту Вы можете найти здесь:

https://dl.ubnt.com/XN-fw-internal/tools/CureSkynetMalware-0.4.jar

MD5 (CureSkynetMalware-0.4.jar) = 9310926b691b7f95e0ba2c973a5d09c2

Внимание!: Утилиты удаления Skynet, предоставляемые другими пользователями (посредством электронной почты, загруженные с ubnt.com неофициальных сайтов и т.д.) используйте на свой страх и риск, и будьте в курсе, что это может быть новый вирус.

Вот пример использования:

Цитата:

$ java -jar CureSkynetMalware.jar 

Possible formats for IP(s):

IP <192.168.1.1>

IP list <192.168.1.1, 192.168.1.2>

IP range <192.168.1.1-192.168.1.254>

Enter IP(s): 10.100.10.2-10.100.10.3

Possible actions:

Check [1]

Check and Cure [2]

Check, Cure and Update [3]

Enter action <1|2|3>: 2

Enter ssh port [22]: 22

Enter user name: ubnt

Reuse password <y|n>: y

Processing ubnt@10.100.10.2:22 ...

Password for ubnt@10.100.10.2:

Checking...

Утилита будет работать как для V4 так и для V5 прошивок. Если у вас возникли вопросы, пожалуйста, сообщите нам об этом.

EDIT – обновлено до версии v0.4. Иногда, после исправления и обновления устройства, оно становилось недоступно.

 

POST № 4

Если в устройствах уже есть червь, вы можете исправить их массово через AirControl:

https://ubnt.com/wiki/AirControl#Execute.2FSchedule_Device_Operations

  1. В AirControl выбрать сразу несколько устройств

  2. Нажатием на правую кнопку мыши выбрать пункт Tasks/Operations

  3. Выберите пункт «Execute Command»

  4. В поле команды, введите:

    rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;

  5. Нажмите Done

     

     

P.S. Мне очень сильно напомнил принцип действия Sasser (https://ru.wikipedia.org/wiki/Sasser), который в своё время тоже заразил кучу компьютеров, и Microsoft в срочном порядке так же выпускала заплатки для него.

 

Перевод и комментарии Валерия Бурца.