Многие слышали о вирусе на Ubiquiti. Но, как известно, слухи часто искажают информацию, а использование некоторых пользовательских прошивок может навредить вашему оборудованию больше, чем сам вирус. В данной статье мы предоставим полную информацию из официальных источников, чтобы посетители сайта ASP24 имели возможность, воспользовавшись проверенными данными, надёжно защитить своё оборудование.
AirOS Security Exploit - Updated Firmware
Из сообщения на форуме от 12-19-2011:
В AirOS есть уязвимость безопасности.
POST № 1
Привет всем!
Сегодня мы обнаружили уязвимость, которая может предоставить удаленным пользователям административный доступ к оборудованию Ubiquiti с AirOS v3/4 и AirOS v5, без выполнения проверки подлинности.
Мы быстро исправили эту ошибку и выпустили обновление микропрограммы с заплаткой этой уязвимости. Вы можете найти обновление микропрограммы здесь: https://ubnt.com/support/Downloads
Предупреждение: Пользовательские прошивки, предоставляемые другими пользователями форума, используйте на свой страх и риск.
Уязвимые версии:
-
802.11 Продукция - AirOS v3.6.1/v4.0 (предыдущие версии не уязвимы)
-
AirMax продукция - AirOS v5.x (все версии)
Обновленные версии:
-
v4.0.1 - 802.11 продукции для ISP
-
V5.3.5 - AirMax продукции для ISP
-
V5.4.5 - AirSync прошивки.
Мы рекомендуем всем владельцам устройств AirOS публично (через HTTP) обновить прошивки как можно скорее, чтобы предотвратить попытки взлома. Если у вас есть какие-либо вопросы или требуются предыдущие версии микропрограммы, пожалуйста, напишите нам (support@ubnt.com).
Также мы разрабатываем утилиту для удаления червя. Для получения дополнительной информации, смотрите следующие несколько постов форума.
POST № 2
Привет всем!
Существует два способа:
-
Уязвимость HTTP-сервера, которая позволяет пользователям обходить проверку подлинности и выполнять команды.
-
Червь, который использует пункт № 1 для своего распространения.
Новая прошивка предотвращает пункт № 1, который также предотвращает № 2.
Если червь уже присутствует, он выполнит следующие действия:
-
Переименует admin.cgi в adm.cgi (можно проверить веб-браузером после входа в систему)
-
Создаст сценарий запуска в /etc/persistent (можете проверить, выполнив команду:
ls -la /etc/persistent и найдёте там файл .skynet)
Мы работаем над патчем, который будет удалять червя, но вот как можно сделать это вручную:
-
подключаемся по SSH к устройству
-
cd /etc/persistent
-
rm rc.poststart
-
rm -rf .skynet
-
cfgmtd -w -p /etc/
-
reboot
Это не помешает червю снова вернуться, для предотвращения этого Вам потребуется обновить микропрограмму.
POST № 3
Мы разработали утилиту для удаления / исправления для всех устройств, которые могут быть заражены червем. Это позволит удалить все вхождения червя, и, при желании, автоматически обновить прошивку.
Утилиту Вы можете найти здесь:
https://dl.ubnt.com/XN-fw-internal/tools/CureSkynetMalware-0.4.jar
MD5 (CureSkynetMalware-0.4.jar) = 9310926b691b7f95e0ba2c973a5d09c2
Внимание!: Утилиты удаления Skynet, предоставляемые другими пользователями (посредством электронной почты, загруженные с ubnt.com неофициальных сайтов и т.д.) используйте на свой страх и риск, и будьте в курсе, что это может быть новый вирус.
Вот пример использования:
Цитата:
$ java -jar CureSkynetMalware.jar
Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 10.100.10.2-10.100.10.3
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 2
Enter ssh port [22]: 22
Enter user name: ubnt
Reuse password <y|n>: y
Processing ubnt@10.100.10.2:22 ...
Password for ubnt@10.100.10.2:
Checking...
Утилита будет работать как для V4 так и для V5 прошивок. Если у вас возникли вопросы, пожалуйста, сообщите нам об этом.
EDIT – обновлено до версии v0.4. Иногда, после исправления и обновления устройства, оно становилось недоступно.
POST № 4
Если в устройствах уже есть червь, вы можете исправить их массово через AirControl:
https://ubnt.com/wiki/AirControl#Execute.2FSchedule_Device_Operations
-
В AirControl выбрать сразу несколько устройств
-
Нажатием на правую кнопку мыши выбрать пункт Tasks/Operations
-
Выберите пункт «Execute Command»
-
В поле команды, введите:
rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;
-
Нажмите Done
P.S. Мне очень сильно напомнил принцип действия Sasser (https://ru.wikipedia.org/wiki/Sasser), который в своё время тоже заразил кучу компьютеров, и Microsoft в срочном порядке так же выпускала заплатки для него.
Перевод и комментарии Валерия Бурца.