Bezpečnostní chyba v AirOS

[JirkaK]

Mate nekdo k dispozici "nakazenou jednotku"?
Co presne obsahuje archiv mf.tar?
Mate nekdo vypis procesu z nakazene jednoky?

[mmazna]

U nás v síti to lítá od pátku večer. 300 klientů napadeno, zejména M5-FW5.5.x.
Asi 15 jednotek vyresetováno - všechny APčka, takže asi se reset zaměřuje převážně na AP.

Nám zatím pomohlo:
1) blokace všech veřejných IP
2) připojit se k napadené jednotce přes SSH a spustit
cd /etc/persistent ; rm -R mcuser ; rm -R .mf ; rm * ; cfgmtd -w -p /etc/ ; killall -9 search ; killall -9 mother ; killall -9 sleep ; reboot
3) upgrade fw na 5.6.4 ev. 4.0.4 na starších
4) po upgrade pro jistotu zopakovat bod 2) Stalo se, ze virus se do jednotky znovu nasypal v době mezi provedením bodu 2 a 3, stačilo mu cca. 30s

Zatím to drží.

[neverhappy]

Mam na UBNT jen jedno Ap a na nem 8 klientu v nanobridge. AP lehlo, 3 klienti v defaulthu, 5 jich jelo, ale neslo se na ne dostat, musel jsem vsechny objet

Vypis nakazeneho AP
Neumim s ubnt delat, tak snad je to ono.

Kód: Vybrat vše

XM.v5.5.2# ps
  PID USER       VSZ STAT COMMAND
    1 ubnt      1972 S    init
    2 ubnt         0 SW   [kthreadd]
    3 ubnt         0 SW   [ksoftirqd/0]
    4 ubnt         0 SW   [events/0]
    5 ubnt         0 SW   [khelper]
    8 ubnt         0 SW   [async/mgr]
   50 ubnt         0 SW   [sync_supers]
   52 ubnt         0 SW   [bdi-default]
   54 ubnt         0 SW   [kblockd/0]
   59 ubnt         0 SW   [khubd]
   81 ubnt         0 SW   [kswapd0]
   82 ubnt         0 SW   [aio/0]
   83 ubnt         0 SW   [crypto/0]
  165 ubnt         0 SW   [mtdblockd]
  309 ubnt         0 SW   [flush-31:0]
  492 ubnt      1140 S    /sbin/hotplug2 --persistent --set-rules-file /usr/etc
  494 ubnt      1964 S <  /bin/watchdog -t 1 /dev/watchdog
  928 ubnt      6112 S    /bin/infctld -m -c
  929 ubnt      4268 S    /bin/lighttpd -D -f /etc/lighttpd.conf
  930 ubnt      1940 S    /bin/dropbear -F -d /etc/persistent/dropbear_dss_host
  931 ubnt      1972 S    init
  936 ubnt      1996 S    /bin/dropbear -F -d /etc/persistent/dropbear_dss_host
  937 ubnt      1976 S    -sh
  939 ubnt      1972 R    ps


[UBNT-Vlad]

Mate nekdo k dispozici "nakazenou jednotku"?
Co presne obsahuje archiv mf.tar?
Mate nekdo vypis procesu z nakazene jednoky?

Vypis ted nemam, ale staci aby v procesech bezelo nektery proces s timto jmenem a je to zavirovane:
download fuck fucker i infect mother search

[UBNT-Vlad]

Mam na UBNT jen jedno Ap a na nem 8 klientu v nanobridge. AP lehlo, 3 klienti v defaulthu, 5 jich jelo, ale neslo se na ne dostat, musel jsem vsechny objet

Vypis nakazeneho AP
Neumim s ubnt delat, tak snad je to ono.

Kód: Vybrat vše

XM.v5.5.2# ps
  PID USER       VSZ STAT COMMAND
    1 ubnt      1972 S    init
    2 ubnt         0 SW   [kthreadd]
    3 ubnt         0 SW   [ksoftirqd/0]
    4 ubnt         0 SW   [events/0]
    5 ubnt         0 SW   [khelper]
    8 ubnt         0 SW   [async/mgr]
   50 ubnt         0 SW   [sync_supers]
   52 ubnt         0 SW   [bdi-default]
   54 ubnt         0 SW   [kblockd/0]
   59 ubnt         0 SW   [khubd]
   81 ubnt         0 SW   [kswapd0]
   82 ubnt         0 SW   [aio/0]
   83 ubnt         0 SW   [crypto/0]
  165 ubnt         0 SW   [mtdblockd]
  309 ubnt         0 SW   [flush-31:0]
  492 ubnt      1140 S    /sbin/hotplug2 --persistent --set-rules-file /usr/etc
  494 ubnt      1964 S <  /bin/watchdog -t 1 /dev/watchdog
  928 ubnt      6112 S    /bin/infctld -m -c
  929 ubnt      4268 S    /bin/lighttpd -D -f /etc/lighttpd.conf
  930 ubnt      1940 S    /bin/dropbear -F -d /etc/persistent/dropbear_dss_host
  931 ubnt      1972 S    init
  936 ubnt      1996 S    /bin/dropbear -F -d /etc/persistent/dropbear_dss_host
  937 ubnt      1976 S    -sh
  939 ubnt      1972 R    ps


To vypada v poradku. Podle ceho soudite, ze je napadene? Poslete jeste vypis "ls -lah /etc/persistent".

[neverhappy]

Soudim podle toho, ze v 9:06 se resetovalo do defaulthu. Vymenil jsem za kus, ktary mam skladem a tuhle jsem ted pripojil a nic jsem s tim nedelal.

Kód: Vybrat vše

XM.v5.5.2# ls -lah /etc/persistent
drwxr-xr-x    2 ubnt     admin         100 Jan  1  1970 .
drwxr-xr-x   10 ubnt     admin         740 Aug 16 13:40 ..
lrwxrwxrwx    1 ubnt     admin          21 Jan  1  1970 cardlist.txt -> /usr/etc                              /cardlist.txt
-rw-------    1 ubnt     admin         459 Aug 16 13:40 dropbear_dss_host_key
-rw-------    1 ubnt     admin         427 Aug 16 13:40 dropbear_rsa_host_key


[kuba]

mf.tar mam: http://ulozto.cz/xARBzT9F/mf-tar

Nekolik jednoduchych skriptu, vubec zadna snaha zakryt co dela a jak to dela. Docela nepovedeny generator "nahodnych" ip adres, ktere se snazi infikovat. Vetsina vygenerovanych adres jsou nesmysly typu "317.055.145.014". Kdyby si s tim autor dal trochu vic prace, mohly byt dusledky jeste mnohem rozsahlejsi. Ja mel jeste vcera vecer na verejnych adresach desitky anten s firmwary 5.5.6 a 5.5.7 a defaultnimi porty. Ani jedna nebyla timto virem infikovana (ale diky tomu rozruchu jsem na nekterych objevil jiny, mene nebezpecny vir v souboru rc.prestart).
Kdyby mel nekdo jinou podobu mf, prosim taktez o nasdileni.

[neverhappy]

Tady jeste vypis nakazene klientske jednotky. Prihlaseni jako mother a heslo fuc**r

Kód: Vybrat vše

  PID USER       VSZ STAT COMMAND
    1 ubnt      1980 S    init
    2 ubnt         0 SW   [kthreadd]
    3 ubnt         0 SW   [ksoftirqd/0]
    4 ubnt         0 SW   [events/0]
    5 ubnt         0 SW   [khelper]
    8 ubnt         0 SW   [async/mgr]
   50 ubnt         0 SW   [sync_supers]
   52 ubnt         0 SW   [bdi-default]
   54 ubnt         0 SW   [kblockd/0]
   59 ubnt         0 SW   [khubd]
   81 ubnt         0 SW   [kswapd0]
   82 ubnt         0 SW   [aio/0]
   83 ubnt         0 SW   [crypto/0]
  165 ubnt         0 SW   [mtdblockd]
  494 ubnt      1140 S    /sbin/hotplug2 --persistent --set-rules-file /usr/etc
  991 ubnt      1976 S    init
 1776 ubnt      1968 S <  /bin/watchdog -t 1 /dev/watchdog
 2027 ubnt      3640 S    /bin/infctld -m -c
 2028 ubnt      1520 S    /bin/wpa_supplicant -D wext -i ath0 -c /etc/wpasuppli
 2029 ubnt      1296 S    /bin/dnsmasq -k -C /etc/dnsmasq.conf -x /var/run/dnsm
 2030 ubnt      4280 S    /bin/lighttpd -D -f /etc/lighttpd.conf
 2031 ubnt      1940 S    /bin/dropbear -F -d /etc/persistent/dropbear_dss_host
 2128 ubnt         0 SW   [flush-31:0]
 2153 ubnt      1996 S    /bin/dropbear -F -d /etc/persistent/dropbear_dss_host
 2157 ubnt      1980 S    -sh
 2161 ubnt      1976 R    ps

XM.v5.5# ls -lah /etc/persistent
drwxr-xr-x    2 ubnt     admin         100 Apr 30 18:55 .
drwxr-xr-x   10 ubnt     admin         800 May  1 21:52 ..
-rw-------    1 ubnt     admin         457 Dec 19 20:46 dropbear_dss_host_key
-rw-------    1 ubnt     admin         427 Dec 19 20:46 dropbear_rsa_host_key
-rw-------    1 ubnt     admin       20.0k Apr 30 19:29 mf.tar
XM.v5.5#

[mpcz]

mf.tar mam: http://ulozto.cz/xARBzT9F/mf-tar

Nekolik jednoduchych skriptu, vubec zadna snaha zakryt co dela a jak to dela. Docela nepovedeny generator "nahodnych" ip adres, ktere se snazi infikovat. Vetsina vygenerovanych adres jsou nesmysly typu "317.055.145.014". Kdyby si s tim autor dal trochu vic prace, mohly byt dusledky jeste mnohem rozsahlejsi. Ja mel jeste vcera vecer na verejnych adresach desitky anten s firmwary 5.5.6 a 5.5.7 a defaultnimi porty. Ani jedna nebyla timto virem infikovana (ale diky tomu rozruchu jsem na nekterych objevil jiny, mene nebezpecny vir v souboru rc.prestart).
Kdyby mel nekdo jinou podobu mf, prosim taktez o nasdileni.

Zdravím,
pokud je tedy vše zřejmé a jednoduché, dá se z obsahu souboru vyvodit závěr, jak poznat nakažené jednotky? Je existence souboru jednoznačný ukazatel napadení a naopak? A dále - co například s jednotkou, která je již nakažena a podle výše uvedeného již přehrátí frmw nepomůže? Samotný generátor IP je jedna věc, ale jak se dostane k přístupu do zařízení, když je heslo atd? Ty hesla, která se vyskytují po infekci, těmi to bylo zaheslované?
Měl bych prosbu: bylo by dobré, pokud někdo chce k tomu něco říci, aby použil přiměřeně srozumitelný jazyk. Určitě jsou případy, že někdo má UBNT v síti jen vyjímečně a doteď nic hlubšího neřešil.
Děkuji, mpcz, 15/05/2016

[VendaK]

XW.v5.5.9# ps
PID USER VSZ STAT COMMAND
1 1976 S init
2 0 SW [kthreadd]
3 0 SW [ksoftirqd/0]
4 0 SW [watchdog/0]
5 0 SW [events/0]
6 0 SW [khelper]
9 0 SW [async/mgr]
43 0 SW [sync_supers]
45 0 SW [bdi-default]
47 0 SW [kblockd/0]
67 0 SW [khungtaskd]
68 0 SW [kswapd0]
69 0 SW [aio/0]
70 0 SW [crypto/0]
152 0 SW [mtdblockd]
253 1964 S /bin/watchdog -t 1 /dev/watchdog
600 1976 S /bin/sh /etc/persistent/.mf/search
601 1976 S /bin/sh /etc/persistent/.mf/search 7 15
602 1976 S /bin/sh /etc/persistent/.mf/search 0 64
603 1976 S /bin/sh /etc/persistent/.mf/search 25 16
606 1968 S /bin/sh /etc/persistent/.mf/mother
607 1972 S /bin/sh /etc/persistent/.mf/mother
611 1964 S sleep 666666
612 1964 S sleep 66666
616 7212 S /bin/infctld -m -c -g
617 1988 S /sbin/udhcpc -f -i ath0 -s /etc/udhcpc/udhcpc -p /var/r
618 1284 S /bin/dnsmasq -k -C /etc/dnsmasq.conf -x /var/run/dnsmas
619 4248 S /bin/lighttpd -D -f /etc/lighttpd.conf
620 vendy21 2000 S /bin/dropbear -F -d /etc/persistent/dropbear_dss_host_k
621 vendy21 1976 S init
19898 2064 S /bin/dropbear -F -d /etc/persistent/dropbear_dss_host_k
19961 1976 S -sh
19982 1972 S /bin/sh /etc/persistent/.mf/infect 192.232.138.254
19984 1972 S /bin/sh /etc/persistent/.mf/infect 192.232.138.254
19985 4036 S ./curl -s -L -k -c /tmp/ac -m 3 192.232.138.254
19986 1968 S grep airos
19987 1964 S wc -l
19988 1972 S /bin/sh /etc/persistent/.mf/infect 192.168.139.0
19990 1972 S /bin/sh /etc/persistent/.mf/infect 192.168.139.0
19991 4036 S ./curl -s -L -k -c /tmp/ac -m 3 192.168.139.0
19992 1968 S grep airos
19993 1964 S wc -l
19994 1972 S /bin/sh /etc/persistent/.mf/infect 199.138.183.238
19996 1972 S /bin/sh /etc/persistent/.mf/infect 199.138.183.238
19997 4036 S ./curl -s -L -k -c /tmp/ac -m 3 199.138.183.238
19998 1968 S grep airos
19999 1964 S wc -l
20000 1972 S /bin/sh /etc/persistent/.mf/infect 217.138.184.192
20002 1972 S /bin/sh /etc/persistent/.mf/infect 217.138.184.192
20003 4036 S ./curl -s -L -k -c /tmp/ac -m 3 217.138.184.192
20004 1968 S grep airos
20005 1964 S wc -l
20006 1972 R ps
XW.v5.5.9#

takhle to vypadá když je zapraseno

[pajas]

našel jsem možné řešení na UBNT foru
http://community.ubnt.com/t5/airMAX-Gen ... -p/1562940

Removal tool.
CureMalware-0.7.jar
This tool requires Java. It will search for and remove both variants we have seen, remove them (and their baggage). It has the option to upgrade firmware to 5.6.5. Beware that 5.6.5 removes _all_ rc.scripts and the ability to use them.


We are releasing 5.6.5 with the following changes.
- New: Disable custom scripts usage
- New: Enable syslog by default
- Fix: Security updates (malware scripts check and removal)
http://www.ubnt.com/downloads/XN-fw-int ... 5.2108.bin
http://www.ubnt.com/downloads/XN-fw-int ... 5.2119.bin
http://www.ubnt.com/downloads/XN-fw-int ... 5.2058.bin

[midnight_man]

virus stahuje veci z openwrt.org

dajte si tu IP do droplistu a IP ktore skusia na nu pristupovat odchytte do address listu. Budete vediet co sa deje

[kuba]

Jednotka nakazena timto konkretnim virem se pozna podle bezicich procesu - viz. prispevek od VendaK. Pokud se v nich nevyskytne "mother" ani "search", jednotka nakazena neni. Uzivatel vytvoreny virem mohl zustat v /etc/passwd, ale pokud vyse uvedene procesy nebezi a v /etc/persistent neni mf.tar ani adresar .mf, vir uz neni aktivni.

Odstranit se da posloupnosti prikazu, ktera byla zde v i v jinych forech uz mnohokrat uvedena. Zaklad je killnout "mother" a "search", odstranit mf.tar a .mf, zapsat do flashky a reboot. Killovat "sleep" nedoporucuju, je to nebezpecne a zbytecne, pokud se pak stejne provadi reboot.

Do zarizeni se dostane exploitem, ktery je jiz delsi dobu znamy. Starsi firmwary (az do 5.6.1) omylem umoznuji pres webove rozhrani bez prihlaseni zapisovat soubory. Svuj verejny ssh klic si ulozi do /etc/dropbear/authorized_keys, prepise /etc/passwd a pak se tam prihlasi pres ssh.

[ludvik]

No ... jednoho jsem našel. Kde se vzal, tu se vzal ... na openwrt nemohl.

Procesy mother ani search neexistovaly.
/etc/persistent/mf.tar ovšem ano (ale složka .mf ani podobná ne).
Jméno a heslo bylo mother/fucker.

Po smazání mf.tar, zapsání na flash a rebootu se ovšem přihlásit dalo již normálně ... passwd jsem neměnil a nic navíc tam není.

Podle mě nám to z těch stovek nakazilo jen pět kusů. 4 už nejedou ... na dvě bych se dostal, kdyby byly v defaultu. Takže asi nejsou ... bůhví co tam ta mrcha provedla.


Na jiných jednotkách ale nacházím cardlist.txt Netušíte někdo co to je a co to má vlastně být?

Kód: Vybrat vše

#Vendor:Product:cdma/gsm:PPP dev handle:backend dev handle:AT+CSQ:pic file namebackendmode
1199:6880:gsm:/dev/ttyUSB4:/dev/ttyUSB3:AT+CSQ:3g_sierra_mercury_connect.gif:Sierra Wireless USB Connect Mercury:2
1199:6890:gsm:/dev/ttyUSB4:/dev/ttyUSB3:AT+CSQ:3g_sierra_usb888.gif:Sierra Wireless USB 888:3
1199:0025:cdma:/dev/ttyUSB0:/dev/ttyUSB1:AT+CSQ:3g_sierra_598U.gif:Sierra Wireless 598U:1
...atp ... atd ...


[Orel005]

Ja bych se chtel zeptat, co znamena kdyz ubnt rika, ze jsou aktivni uzivatelske skripty ? Nikdy predtim jsem to nevidel. Jedna se o klientskou jednotku zakaznika, kteremu prestal fungovat internet. Ale antena nema zmenen heslo a neni v defaultu a ma fw 5.5.4

https://ctrlv.cz/UKWe