Bezpečnostní chyba v AirOS

[UBNT-Vlad]

1/ Jinak aktualizace firmware zavirovaneho zarizeni na 5.6.5 muze trvat dele, protoze virus hodne vytezuje CPU, ale na spravnost upgrade to nema vliv.

2/ Nepouzivejte prikaz "ps" pro detekci beziciho viru, nove varianty "ps" vylepsi za verzi, ktera je nezobrazuje. Vzdy pouzivejte pouze "/bin/ps"....

Kód: Vybrat vše

XM.v5.6.4# ps
  PID USER       VSZ STAT COMMAND
    1 ubnt      1988 S    init       
    2 ubnt         0 SW   [kthreadd]
    3 ubnt         0 SW   [ksoftirqd/0]
    4 ubnt         0 SW   [events/0]
    5 ubnt         0 SW   [khelper]
    8 ubnt         0 SW   [async/mgr]
   50 ubnt         0 SW   [sync_supers]
   52 ubnt         0 SW   [bdi-default]
   54 ubnt         0 SW   [kblockd/0]
   59 ubnt         0 SW   [khubd]
   81 ubnt         0 SW   [kswapd0]
   82 ubnt         0 SW   [aio/0]
   83 ubnt         0 SW   [crypto/0]
  165 ubnt         0 SW   [mtdblockd]
  275 ubnt      1976 S    /bin/watchdog -t 1 /dev/watchdog
  499 ubnt      1144 S    /sbin/hotplug2 --persistent --set-rules-file /usr/etc/hotplug2.rules
 1091 ubnt      8268 S    /bin/infctld -m -c -g
 1092 ubnt      1980 S    /bin/syslogd -n -S
 1093 ubnt      1504 S    /usr/bin/iwevent -s
 1094 ubnt      2052 S    /bin/wpa_supplicant -D wext -i ath0 -c /etc/wpasupplicant_WPA-PSK.conf
 1096 ubnt      1304 S    /bin/dnsmasq -k -C /etc/dnsmasq.conf -x /var/run/dnsmasq.pid
 1097 ubnt      2028 S    /bin/dropbear -F -r /etc/persistent/dropbear_dss_host_key -r /etc/persistent/dropbear_rsa_host_key -p 22
 1098 ubnt      4792 S    /bin/lighttpd -D -f /etc/lighttpd.conf
 1099 ubnt      2312 S    /bin/mcad
 1100 ubnt      8136 S    /bin/ulogger
 1101 ubnt      1988 S    init       
12040 ubnt      1396 S    /sbin/ntpclient -n -s -c 0 -l -h clock1.zcu.cz
12160 ubnt      2072 S    /bin/dropbear -F -r /etc/persistent/dropbear_dss_host_key -r /etc/persistent/dropbear_rsa_host_key -p 22
12162 ubnt      1988 S    -sh
12165 ubnt      1984 R    /usr/bin/ps


Kód: Vybrat vše

XM.v5.6.4# /bin/ps
  PID USER       VSZ STAT COMMAND
    1 ubnt      1988 S    init       
    2 ubnt         0 SW   [kthreadd]
    3 ubnt         0 SW   [ksoftirqd/0]
    4 ubnt         0 SW   [events/0]
    5 ubnt         0 SW   [khelper]
    8 ubnt         0 SW   [async/mgr]
   50 ubnt         0 SW   [sync_supers]
   52 ubnt         0 SW   [bdi-default]
   54 ubnt         0 SW   [kblockd/0]
   59 ubnt         0 SW   [khubd]
   81 ubnt         0 SW   [kswapd0]
   82 ubnt         0 SW   [aio/0]
   83 ubnt         0 SW   [crypto/0]
  165 ubnt         0 SW   [mtdblockd]
  275 ubnt      1976 S    /bin/watchdog -t 1 /dev/watchdog
  499 ubnt      1144 S    /sbin/hotplug2 --persistent --set-rules-file /usr/etc/hotplug2.rules
  674 ubnt      1996 S    /bin/sh /var/lib/dhcp/leases
 1091 ubnt      8268 S    /bin/infctld -m -c -g
 1092 ubnt      1980 S    /bin/syslogd -n -S
 1093 ubnt      1504 S    /usr/bin/iwevent -s
 1094 ubnt      2052 S    /bin/wpa_supplicant -D wext -i ath0 -c /etc/wpasupplicant_WPA-PSK.conf
 1096 ubnt      1304 S    /bin/dnsmasq -k -C /etc/dnsmasq.conf -x /var/run/dnsmasq.pid
 1097 ubnt      2028 S    /bin/dropbear -F -r /etc/persistent/dropbear_dss_host_key -r /etc/persistent/dropbear_rsa_host_key -p 22
 1098 ubnt      4792 S    /bin/lighttpd -D -f /etc/lighttpd.conf
 1099 ubnt      2312 S    /bin/mcad
 1100 ubnt      8136 S    /bin/ulogger
 1101 ubnt      1988 S    init       
 1212 ubnt      1976 S    sleep 174483
12040 ubnt      1396 S    /sbin/ntpclient -n -s -c 0 -l -h clock1.zcu.cz
12160 ubnt      2072 S    /bin/dropbear -F -r /etc/persistent/dropbear_dss_host_key -r /etc/persistent/dropbear_rsa_host_key -p 22
12162 ubnt      1988 S    -sh
12167 ubnt      1984 R    /bin/ps

Tady je ukazka...prvni prikaz je "ps" a druhy "/bin/ps"...v tom druhem je videt navic prikaz "sleep", podle cehoz jde vir odhalit.

[rouchi]

Ta tvoje mobilní verze alespoň funguje spolehlivě a poměrně rychle ale ta oficiální appka je pomalá a nakokos jak prase to se nedá prostě...

[rouchi]

jenom bych ještě doplnil,ž e jsem snad nezaregistroval ani jedno zařízení, které by jelo na WF 5.3.5 a(skoro mi příjde pod 5.5.) a bylo by infikované, proto bych se při upgradu primárně nejprve zaměřil na firmwary 5.5.x a ž 5.6.3

[Peyrak]

Zdravim,

tak uz se objevily i modifikace hlavniho viru. Vse lze odstranit oficialni java utilitou odtud:

http://community.ubnt.com/t5/airMAX-Gen ... 869#M55108

Pripadne zde je odkaz na moji neoficialni appku pro Android:

https://github.com/vlada-dev/app-ubnt-v ... k?raw=true

Doporucuju update, protoze drivejsi verze appky neumela detekovat vsechny variace viru.

Aplikace je dostupna i na Google Play (https://play.google.com/store/apps/deta ... rusremoval), ale nemusi tam byt vzdy posledni verze (Googlu par hodin trva nez ji uverejni).

Nova verze umi odstranovat i Skynet, Pimpampum a i novou variaci toho soucasneho viru (Exploitim). Detekce je stejna jako u oficialni aplikace (Android appka by mela najit to same jako oficialni java aplikace).

Pozor, ta nová verze se mi zdá nefunkční.

[hocimin1]

nedokozal by nekdo pro Linux napsat skript, do kteryho byz zadal IP/user/heslo a on by se pripojil pres SSH a nasypal tam prikazy

cd /etc/persistent
rm -R mcuser
rm -R .mf
rm *
sed -n '/mother/!p' /etc/passwd > /etc/passwd.new
mv /etc/passwd.new /etc/passwd
cfgmtd -w -p /etc/
killall -9 search
killall -9 mother
killall -9 sleep
reboot

pomohlo me do firewallu hodit pravidlo, ze cokoliv co se pripoji na OPENWRT.COm hodit do adresslistu a zablokovat pristup na tento WEB. Pak jsem se ke vsem prihlasil a byli infikovany. Tak kdybych mel skript, kterej by to dal lehce automaticky tak by to bylo pro me jednoduzsi, pak se to da jiz automatizovat. I napriklad s update firmware

a kdyby slo vypnout i DISCOVERY pres prikazy UBNT tak by to take pomolo )

[UBNT-Vlad]

Zdravim,

tak uz se objevily i modifikace hlavniho viru. Vse lze odstranit oficialni java utilitou odtud:

http://community.ubnt.com/t5/airMAX-Gen ... 869#M55108

Pripadne zde je odkaz na moji neoficialni appku pro Android:

https://github.com/vlada-dev/app-ubnt-v ... k?raw=true

Doporucuju update, protoze drivejsi verze appky neumela detekovat vsechny variace viru.

Aplikace je dostupna i na Google Play (https://play.google.com/store/apps/deta ... rusremoval), ale nemusi tam byt vzdy posledni verze (Googlu par hodin trva nez ji uverejni).

Nova verze umi odstranovat i Skynet, Pimpampum a i novou variaci toho soucasneho viru (Exploitim). Detekce je stejna jako u oficialni aplikace (Android appka by mela najit to same jako oficialni java aplikace).

Pozor, ta nová verze se mi zdá nefunkční.

Mate pravdu, v te posledni verzi jsem zapomnel pridat ulozeni zmen pred rebootem => OPRAVENO.

[Filipová Ludmila]

Jen malinko odbočím před verzí 5.3.5. se vědělo, že ta díra tam je a verze 5.3.5 měla tuto díru opravit. Jak je tedy možné, že verze 5.3.5. nic neopravila a díra tam byla i poté v dalších a dalších verzích. Takže vlastně tehdy zbytečná práce. Začínám mít totiž dojem, že nás Ubquiti tahá na vařené nudli a spíš se jedná o to, aby byli naplněny zadání Evropské komise která jasně řekla bude se vysílat tak a tak což verze 5.6.5 řeší a u nás nerespektuje národní prostředí jak je zvykem. Skoro bych se nedivila, že si tento malwer spustilo Ubiquiti samo, aby nás donutilo k upgrade. Důsledky jsou zřejmé narvěte se všichni do užšího pásma než je VO a mnoho naštvaných klientů prospěje komu asi (ke komu odejdou) a nejen u nás v ČR. Je také mimo jiné velmi zvláštní jak chodí kontroly a najednou tento malwer. To je, ale náhod najednou a jak se říká nehoda není náhoda a já na náhody rozhodně nevěřím.

[b_henry]

Tak nevěřte a nešiřte tady konspirační teorie. Skoro to vypadá na nějakou marketingovou masáž. Zřejmě na rozdíl od nás ostatních "blbců" máte přehled co přesně bylo či nebylo opraveno v 5.3.5 a přesně víte že se nyní jedná o stejnou zranitelnost jako tehdy Spekulovat se dá o čemkoli.

[rado3105]

Jen malinko odbočím před verzí 5.3.5. se vědělo, že ta díra tam je a verze 5.3.5 měla tuto díru opravit. Jak je tedy možné, že verze 5.3.5. nic neopravila a díra tam byla i poté v dalších a dalších verzích. Takže vlastně tehdy zbytečná práce. Začínám mít totiž dojem, že nás Ubquiti tahá na vařené nudli a spíš se jedná o to, aby byli naplněny zadání Evropské komise která jasně řekla bude se vysílat tak a tak což verze 5.6.5 řeší a u nás nerespektuje národní prostředí jak je zvykem. Skoro bych se nedivila, že si tento malwer spustilo Ubiquiti samo, aby nás donutilo k upgrade. Důsledky jsou zřejmé narvěte se všichni do užšího pásma než je VO a mnoho naštvaných klientů prospěje komu asi (ke komu odejdou) a nejen u nás v ČR. Je také mimo jiné velmi zvláštní jak chodí kontroly a najednou tento malwer. To je, ale náhod najednou a jak se říká nehoda není náhoda a já na náhody rozhodně nevěřím.

- uplny suhlas, presne nad tymto som uvazoval. Aj som pisal Ubiquity nech daju do aircontrolu scanner virusu, ktory virus vyhlada len v zariadeniach ktore mate na sieti (nie rozsahy a ine blbosti ako su tie neefektivne programy).
- taktiez som pisal nech povolia management len z urcenych IP, samozrejme bez odozvy
- je nanajvys zaujimave, ze firma s takymito trzbami a poctom zamestnancov je uplne spomalena v reakcia dolezitych bezpecnostnych rieseni v porovnani s Mikrotikom
- ich politika poslednu dobu ma tendenciu vsetko davat na cloud, napriek silnemu vzdoru uzivatelov - a odchytavat citlive informacie?

[miko]

Jen malinko odbočím před verzí 5.3.5. se vědělo, že ta díra tam je a verze 5.3.5 měla tuto díru opravit. Jak je tedy možné, že verze 5.3.5. nic neopravila a díra tam byla i poté v dalších a dalších verzích. Takže vlastně tehdy zbytečná práce. Začínám mít totiž dojem, že nás Ubquiti tahá na vařené nudli a spíš se jedná o to, aby byli naplněny zadání Evropské komise která jasně řekla bude se vysílat tak a tak což verze 5.6.5 řeší a u nás nerespektuje národní prostředí jak je zvykem. Skoro bych se nedivila, že si tento malwer spustilo Ubiquiti samo, aby nás donutilo k upgrade. Důsledky jsou zřejmé narvěte se všichni do užšího pásma než je VO a mnoho naštvaných klientů prospěje komu asi (ke komu odejdou) a nejen u nás v ČR. Je také mimo jiné velmi zvláštní jak chodí kontroly a najednou tento malwer. To je, ale náhod najednou a jak se říká nehoda není náhoda a já na náhody rozhodně nevěřím.

- uplny suhlas, presne nad tymto som uvazoval. Aj som pisal Ubiquity nech daju do aircontrolu scanner virusu, ktory virus vyhlada len v zariadeniach ktore mate na sieti (nie rozsahy a ine blbosti ako su tie neefektivne programy).
- taktiez som pisal nech povolia management len z urcenych IP, samozrejme bez odozvy
- je nanajvys zaujimave, ze firma s takymito trzbami a poctom zamestnancov je uplne spomalena v reakcia dolezitych bezpecnostnych rieseni v porovnani s Mikrotikom
- ich politika poslednu dobu ma tendenciu vsetko davat na cloud, napriek silnemu vzdoru uzivatelov - a odchytavat citlive informacie?

No jasneeee po tejto aferke da vela ludi ruky prec od UBNT. A myslite, ze oni tam v amerike su taki blazni, ze dobrobolne pridu o zisk len aby nastolili poriadok v europskom vzduchu? To by ich musel ktosi dobre podmaznut a nahradit usly zisk. A ako dobre vieme, dnes idu z unie peniaze na ine "problemy". Ked uz aj tato tema, tak skor za tym hladajte konkurenciu.... A este aj ten hokej sme s nimi "prehrali" kua.

[DarkLogic]

- taktiez som pisal nech povolia management len z urcenych IP, samozrejme bez odozvy

Že to neumíte nastavit, neznamená, že to nelze. Od toho je v zařízeních možnost nastavení firewall pravidel, ve kterých si můžete nakonfigurovat, co potřebujete.

[neverhappy]

Misto spekulaci by mohl nekdo vytvorit podobny mallware do Huawei. At je co pripojovat

[ludvik]

ACL nemusí být to samé jako firewall. Byť na těchto a obdobných zařízení to je to samé. Kromě toho - UBNT neumožňuje standardními prostředky omezit INPUT. Jsou lidé, co nemají rádi, když jim zakážu SSH ... jelikož přesně tak se to bude chovat. Stejně tak je prostě nemožné používat i klientů management VLAN. Oni ji neumí použít, nemají většinou jak. Takže by šla wifinou ven. Což je sice pro zabezpečení dobré, ale pro správu drbání pravou rukou za levým uchem. Od člověka při servisní návštěvě nastává velký problém, že technik musí mít něco co vlany umí ...

U koncáků je též vhodné tohle oddělit ... on si může chtít nastavovat firewall kvůli stanicím. Ale není vhodné mu umožnit změnit ACL. Alespoň ne v jednom kroku, aby to neudělal omylem.

- taktiez som pisal nech povolia management len z urcenych IP, samozrejme bez odozvy

Že to neumíte nastavit, neznamená, že to nelze. Od toho je v zařízeních možnost nastavení firewall pravidel, ve kterých si můžete nakonfigurovat, co potřebujete.

Takže nám zbývá si to prostě napsat, nascriptovat. Což jde. To je fajn. Tedy pokud nám to nezakáží spouštět ... Jelikož tím umíme změnit spoustu věcí, včetně těch co se EU nelíbí ...

[johnson]

Praveze je problem, ze fw 5.6.5 zakazuje spousteni custom srciptu.. Aktualne resime, jak se vyhnout virum a nepouzivat DFS..

[ludvik]

Změna byla pokud vím jen v tom, že smaže toho červa a zakáže scripty. Tedy je to zjednodušení, ale netřeba nasazovat, když není potřeba. Kvůli scriptům má vzniknout extra verze, zjevně to budou vydávat zvlášť. Což asi kvituju.

Praveze je problem, ze fw 5.6.5 zakazuje spousteni custom srciptu.. Aktualne resime, jak se vyhnout virum a nepouzivat DFS..