Bezpečnostní chyba v AirOS

[honzam]

Airfiber je také napadnutelný? Jako poslední fw vidím v3.2 někdy z listopadu 2015

[mashinepistole2]

Ak mam web zariadeni na nestandardnych portoch a SSH vypnute . Vie sa tam ten hajzlik dostat ?

[rado3105]

Ano prave pre kroky EU, ktore robi poslednu dobu to je dokazom, ze ju riadia poskodeni a nelieceni psychiatricki pacienti. A mozno predpokladat, ze UBNT pohrozili...lebo ak si vsimnite DFS radikalne kazdym novym firmwarom zavadzaju do praxe....

[honzam]

Odpovím si sám. Zde je tabulka firmwarů které musíte mít aby jste byli imunní

[tomasik]

takze dle te tabulky pokud jsou jednotky M5 ve verzi 5.6.2 a vyse, tak jsou imuni te hrozbe ?

ještě dotaz, pokud to ctou, tem co se to stalo, nebyli Vase jednotky aktivne pripojene do aircontrolu ?

Diky za info Tomas

[Peyrak]

ještě dotaz, pokud to ctou, tem co se to stalo, nebyli Vase jednotky aktivne pripojene do aircontrolu ?

aircontrol nevedu, přesto to padalo

[tomasik]

Diky za info, a padlo to na jednotkách které měli jaky FW i 5.6.2 a dále nebo nižší ?

[cerva]

takze dle te tabulky pokud jsou jednotky M5 ve verzi 5.6.2 a vyse, tak jsou imuni te hrozbe ?

ještě dotaz, pokud to ctou, tem co se to stalo, nebyli Vase jednotky aktivne pripojene do aircontrolu ?

Diky za info Tomas

Ten vir vyuziva XSS na derave webove rozhrani a nasledne SSH. Je tedy jedno, zda jsou jednotky pripojeny do aircontrolu nebo ne.

[tomasik]

dobře, a jak tedy resite prevenci nyní ? upgrade na 5.6.4 ( kde jde ještě pustit custom script ) a vypnout SSH ? Nebo něco dalšího ?

[rado3105]

upgradoval som vsetko na 5.6.4, prehodil som 80 a 22 na ine porty. Dobre by bolo obmedzit manazovanie ip na vnutorne rozsahy, len to neviem ako dosiahnut (v MK to ide velmi jednoducho).

[KoZLiCeK]

koukam ze se stoho dela narodni problem: http://www.novinky.cz/diskuse?id=444464 ... ionId=1025 b

[KoZLiCeK]

dobře, a jak tedy resite prevenci nyní ? upgrade na 5.6.4 ( kde jde ještě pustit custom script ) a vypnout SSH ? Nebo něco dalšího ?

Dej tam 5.6.5

[Caleb]

upgradoval som vsetko na 5.6.4, prehodil som 80 a 22 na ine porty. Dobre by bolo obmedzit manazovanie ip na vnutorne rozsahy, len to neviem ako dosiahnut (v MK to ide velmi jednoducho).

Kód: Vybrat vše

KERNEL=`uname -r`
insmod /lib/modules/$KERNEL/ip_tables.ko 2>/dev/null
insmod /lib/modules/$KERNEL/iptable_filter.ko 2>/dev/null
insmod /lib/modules/$KERNEL/xt_tcpudp.ko 2>/dev/null

iptables -I INPUT -p tcp --destination-port 80 -j DROP
iptables -I INPUT -p tcp --destination-port 80 -s 192.168.1.0/24 -j ACCEPT
iptables -I INPUT -p tcp --destination-port 80 -s XX.XX.XX.XX/XX -j ACCEPT

iptables -I INPUT -p tcp --destination-port 22 -j DROP
iptables -I INPUT -p tcp --destination-port 22 -s 192.168.1.0/24 -j ACCEPT
iptables -I INPUT -p tcp --destination-port 22 -s XX.XX.XX.XX/XX -j ACCEPT

iptables -I INPUT -p tcp --destination-port 443 -j DROP
iptables -I INPUT -p tcp --destination-port 443 -s 192.168.1.0/24 -j ACCEPT
iptables -I INPUT -p tcp --destination-port 443 -s XX.XX.XX.XX/XX -j ACCEPT

echo "#!/bin/sh" >> /etc/persistent/rc.poststart
echo "KERNEL=`uname -r`" >> /etc/persistent/rc.poststart
echo "insmod /lib/modules/$KERNEL/ip_tables.ko" 2>/dev/null >> /etc/persistent/rc.poststart
echo "insmod /lib/modules/$KERNEL/iptable_filter.ko" 2>/dev/null >> /etc/persistent/rc.poststart
echo "insmod /lib/modules/$KERNEL/xt_tcpudp.ko" 2>/dev/null >> /etc/persistent/rc.poststart

echo "iptables -I INPUT -p tcp --destination-port 80 -j DROP" >> /etc/persistent/rc.poststart
echo "iptables -I INPUT -p tcp --destination-port 80 -s 192.168.1.0/24 -j ACCEPT" >> /etc/persistent/rc.poststart
echo "iptables -I INPUT -p tcp --destination-port 80 -s XX.XX.XX.XX/XX -j ACCEPT" >> /etc/persistent/rc.poststart

echo "iptables -I INPUT -p tcp --destination-port 22 -j DROP" >> /etc/persistent/rc.poststart
echo "iptables -I INPUT -p tcp --destination-port 22 -s 192.168.1.0/24 -j ACCEPT" >> /etc/persistent/rc.poststart
echo "iptables -I INPUT -p tcp --destination-port 22 -s XX.XX.XX.XX/XX -j ACCEPT" >> /etc/persistent/rc.poststart

echo "iptables -I INPUT -p tcp --destination-port 443 -j DROP" >> /etc/persistent/rc.poststart
echo "iptables -I INPUT -p tcp --destination-port 443 -s 192.168.1.0/24 -j ACCEPT" >> /etc/persistent/rc.poststart
echo "iptables -I INPUT -p tcp --destination-port 443 -s XX.XX.XX.XX/XX -j ACCEPT" >> /etc/persistent/rc.poststart
echo "" >> /etc/persistent/rc.poststart

chmod a+x /etc/persistent/rc.poststart

cfgmtd -w -p /etc/

exit


XX pochopitelne nahradit IP rozsahem, ktery se bude pouzivat pro pristup k managementu. Lze ulozit do souboru, vystavit na webu a pak pomoci

Kód: Vybrat vše

sshpass -p heslo_do_zarizeni ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -o ConnectTimeout=10 admin@YY.YY.YY.YY 'wget -q http://vas.web.server/mf_fix.sh -O - | /bin/sh'

spoustet na nejakem linuxu. Idealne si udelat skript, ktery to automatizuje.

[rado3105]

Bolo by dobre defaultne zablokovat cely input a povolit len 80 (resp. xxx80) a xxx22 len z urcitych rozsahov a vsetko ostatne zakazat. Kedze defaultne su tam mnohe sluzby otvorene ako aj SNMP.

Problem je 5.6.5, kde je spustanie tychto skriptov zakazane....

[Filipová Ludmila]

Konspirační teorie to zase, až tak si myslím nejsou. Začalo to pokusem zpoplatnit pásma v VO. To jak fw vypadá je dle sdělení prodejce který je distributorem pro čr, že je to dle nařízení EK ubiquti a prý i mk. Kdo si to objednal se v kuolárech velmi dobře ví, ale nahlas to nikdo neřekne také stejně tak i to, že jezdí kontroly a to i několikrát do měsíce a to i přestože jim leží na stole tisícovky stížností na LTE a neřeší se protože se jezdí na měření vo kmitočtů. Pokud se poptáte lépe tak zjistíte kdo zatím opět stojí. Přizpůsobili jsme se a to vadí jsme v česku a dokážeme mnohé a to vadí a tak po kontrolách tu máme fw který nám to má zase zpříjemnit a donutit nás podřídit se ek. Kdo z toho bude profitovat, že máme nyní problémy s sítěma my poskytovatelé určitě ne. A kam půjde naštvaný klient zkuste popřemýšlet. Jinak jak mne bylo řečeno pro ubiquiti nejsme prý, ža tak velký trh takže požadavek který jsem měla na to, aby bylo při kliknutí na zemi cz správně nastavené národní kmitočty nebylo vyslyšeno ek nařídilo tak jak to tam je a nezájem.