Problem se zariznima, VIR doufam ze ne

[whef]

Dnes se mi taky ukázal vir na jednom zařízení typu M, firmware byl jeden z novějších, jak šla minulá verze viru, nepodařilo se přihlásit. Hlásilo též chybu SSH, nějaké stránky na chvíli prošli. Nevím co je dnes za datum, nebo jestli to bralo včerejšího 13, ale i ve firmách zas začali řádi kryptoviry.

[pgb]

Zaregistroval někdo stejný problém na AC (tj 7.x a 8.x) ?

[CrazyApe]

Jinak my cca 200 zarizeni na verejkach UBNT a napadenych 0 … Prave jsem doupgradoval

[beny-dka]

A která verze je napadena ? A od které je to v pohode. Máte někdo k tomu bližší info ?

[pgb]

Co jsem vyčetl + mluvil s pár známými tak hlavně řada 6.x ... firmware 6.0.7 řeší prevenci, nejde pak nahrát nepodepsaný FW, ale jestli vyřeší už zavšivený stav netuším, spíš ne.

[hapi]

to je hezký že to neumožní nahrát nepodepsanej firmware ale útočník tam snad nahrává svůj? protože to moc smyslu nemá.

[hocimin1]

Dneska stejnej problem. Na nastationM5 s verejnou ip.

Ale co jsem vysledoval, delalo me to jenom kdyz jsou v siti win10. Na notebooku mam winxp a tam to slape ok, dokud jsem nepripojil pc s win10.

[pgb]

to je hezký že to neumožní nahrát nepodepsanej firmware ale útočník tam snad nahrává svůj? protože to moc smyslu nemá.

Moje představa:
tak možná jsem to blbě pochopil, ale "nepodepsanej" od ubnt tam nepustí a takový útočník tam snad nenahraje svůj vadný, protože firmware není podepsaný, ale zatím mám pocit že nikdo nic neví jistě. Jestli nahrává svůj nevím, u sebe v síti jsem se s tím nepotkal, ale koluje tu fotka, na které je vidět popisek "Invalid firmware file is uploaded" .... ale to celé samozřejmě neřeší to, jak se tam dostal a co všechno má za práva.

[CrazyApe]

Dneska stejnej problem. Na nastationM5 s verejnou ip.

Ale co jsem vysledoval, delalo me to jenom kdyz jsou v siti win10. Na notebooku mam winxp a tam to slape ok, dokud jsem nepripojil pc s win10.

Nemáte napadené DNS?

[hocimin1]

Byly tam nastavene google dns

[hapi]

to je hezký že to neumožní nahrát nepodepsanej firmware ale útočník tam snad nahrává svůj? protože to moc smyslu nemá.

Moje představa:
tak možná jsem to blbě pochopil, ale "nepodepsanej" od ubnt tam nepustí a takový útočník tam snad nenahraje svůj vadný, protože firmware není podepsaný, ale zatím mám pocit že nikdo nic neví jistě. Jestli nahrává svůj nevím, u sebe v síti jsem se s tím nepotkal, ale koluje tu fotka, na které je vidět popisek "Invalid firmware file is uploaded" .... ale to celé samozřejmě neřeší to, jak se tam dostal a co všechno má za práva.

já sem to čet na ubnt foru a nepodepsaný firmware tam někdo vytahnul z důvodu toho, že tam nemůžeš na dálku jenom tak něco nahrát aby si vyřešil napadení virem a pak se toho najednou všichni chytly že to řeší problém a jednotku už nikdo nenapadne což je nesmysl protože do funkčního systému běžícího systému si natahám škodlivýho co chci a nechám to běžet tak jako se to dělá.

[helapc]

Už tušíte kudy tam leze? Je to zase přes WEB server?

[hocimin1]

Už tušíte kudy tam leze? Je to zase přes WEB server?

my jsme meli to NskoM5 na verejce, ale port pro web byl na 8088 tak leda ze by skanoval jeste porty

[pgb]

já sem to čet na ubnt foru a nepodepsaný firmware tam někdo vytahnul z důvodu toho, že tam nemůžeš na dálku jenom tak něco nahrát aby si vyřešil napadení virem a pak se toho najednou všichni chytly že to řeší problém a jednotku už nikdo nenapadne což je nesmysl protože do funkčního systému běžícího systému si natahám škodlivýho co chci a nechám to běžet tak jako se to dělá.

Ano, rozumím, tohle mě také napadlo .... tvou myšlenku plně chápu, pokud je tam díra a není opravena, tak na live stav to nepomůže, ale mám pocit, že se lidem nepodařilo se toho viru zbavit vyresetováním a přehráním SW, což alespoň tohle trochu mohlo pomoci. Jak psal jahpisin

novy poznatek, byl jsem ted u prvniho napadeneho klienta osobne, prehrani pres tftp v pohode, vse pak nove nastaveno, zakazane pristup, nove hesla atd....vse funguje....ale hle co se nedeje blokouje to komplet sluzby googlu, cili to zustane dale nekde na flash a natahne se to dalsim zbusobem na blokovani google sluzeb, aspon to jsem v tu chvili postreh....takze vymena zarizeni a vse ok....to jsem zvedavej co je v tom za srac nahranej

[mmazna]

Zaregistroval někdo stejný problém na AC (tj 7.x a 8.x) ?

Máme několik zařízení na veřejných IP. PowerBeam M5, PowerBeam AC - FW 6.0.7 a 8.3.2,
Telnet, SSH, Discovery, CDP, SNMP, UNMS disabled, WWW na jiném portu než 80 a zatím bez problému běží.
Jediné v LOGu je monoho pokusů o přístup na WWW z 209.153.38.201. Zadejte si tu IP do prohlížeče.. (nějaké AirOS zařízení v US, Chicago).

Dále máme nějaké klienty na NATovaných veřejkách. UBNT zařízení nastaveno Web port 9xxx, SSH 3xx, Telnet 3xx, ostatní disabled.
Přístup na Web, SSH a Telnet z internetu dropován. A taky zatím v pohodě.

Je potřeba pořádně zabezpečit síť, přístup z venku na UBNT blokovat, používat FW novější než 5.3.3 (i jediné zapomenuté nezaktualizované zařízení v síti
to posere), nezapomenout třeba i na AirCam, zejména pokud je na veřejné a hlavně nepoužívat stejná hesla jako v předchozí vlně útoků. Na všech jednotkách
vypněte CDP a Discovery, na AP zapněte Client Isolation (pro případ když se to do sítě dostane, ať to nemá ten virus příliš lehké). Z toho důvodu vypínám i Neighbors
na Mikrotiku.