Motherfucker: virus v bezdrátových zařízeních Ubiquiti (AirOS)

Zobraziť predchádzajúcu tému Zobraziť nasledujúcu tému Goto down

Motherfucker: virus v bezdrátových zařízeních Ubiquiti (AirOS)

Odoslať pre Admin za 17th máj 2016, 20:05

Motherfucker: virus v bezdrátových zařízeních Ubiquiti (AirOS)
Před měsícem byla popsána nová bezpečnostní díra ve všech typech zařízení AirOS. Ta umožňuje útočníkovi nahrát jakýkoliv soubor kamkoliv do souborového systému Wi-Fi zařízení bez znalosti přihlašovacích údajů.V pondělí 16. května byl konečně vydán opravný firmware verze 5.6.5, který tuto chybu řeší. Jak se vlastně dostane do nezabezpečeného zařízení?

Infekce zařízení: Jelikož exploit umožňuje nahrání souboru kamkoliv do souborového systému, virus si nahraje veřejný klíč SSH do routeru (bez nutnosti autentizace). Také zkopíruje sám sebe do zařízení. Přihlásí se pomocí SSH a nainstaluje se. Tedy rozbalí si tar, zapíše se do souboru rc.poststart a zapíše se do perzistentní paměti. Pak se restartuje.

Po restartu: Znovu se rozbalí z taru, a spustí soubor mother. Tato matka si nastaví firewall na HTTP/HTTPS – tím můžete poznat infikované zařízení. Dále inicializuje stažení příkazu curl a několika knihoven pomocí wget. Příkaz curl potřebuje pro své šíření a nevejde se do perzistentní paměti.Následně spustí search a začne skenovat adresní prostor. Pokud najde zařízení, které by mohlo být „airos“, zkusí na něj nahrát pomocí HTTP (HTTPS) opět svůj veřejný klíč a následně se zkusí pomocí SSH přihlásit do zařízení a nainstalovat se.To však není vše. Skript si ukládá IP adresu pravděpodobně infikovaných zařízení a zkusí je všechny přibližně jednou za 66 666 sekund (18,5 hodiny) resetovat pomocí webového přístupu do továrního nastavení – skript fucker. Reset se podaří jen na zařízení, které se nepodařilo správně infikovat a samozřejmě mají zranitelný firmware.Dále na hostitelském zařízení pustí odpočet na 666 666 sekund (7,5 dne) a po uplynutí přenastaví ESSID na „motherfucker“ a následně zařízení vypne. Detaily naleznete na fóru ubnt.

Jak se bránit? Především aktualizovat na firmware 5.6.5! Zároveň je dobré nasadit firewall na HTTP nebo HTTPS, stačí jej nastavit ve webovém rozhraní zařízení. Dále je možné nastavit naslouchání zařízení na jiný než výchozí port 80 či 443. Zkušenější samozřejmě mohou využít vlastních skriptů v ubnt.
Pokud už jste byli napadeni, můžete manuálně odstranit virus pomocí SSH:

# cd /etc/persistent/
# rm mf.tar
# rm rc.poststart
# rm -R .mf
# sed -i "/^mother/d" /etc/passwd
# cfgmtd -p /etc/ -w
# reboot

Doufám, že všichni stihnete aktualizovat dříve, než naši republiku pokryje Wi-Fi nápis „motherfucker“.



Červ útočí na WiFi zariadenia najmä so starým FW, viacero slovenských poskytovateľov má problémy

Cez víkend sa začal intenzívne šíriť škodlivý vírus v podobe červa, ktorý napáda medzi poskytovateľmi pripojenia populárne WiFi zariadenia od výrobcu Ubiquiti Networks.Vírus vďaka šíreniu mechanizmom červa, pri ktorom sa samotné infikované zariadenia snažia infikovať ďalšie zariadenia, rýchlo infikoval rozsiahlu infraštruktúru viacerých poskytovateľov pripojenia k Internetu cez WiFi vrátane viacerých slovenských poskytovateľov. Bez pripojenia bolo alebo stále je tak zrejme výrazne viac ako tisíc slovenských zákazníkov.Problémy majú okrem iného Isper a RadioLan, ktorí problémy avizujú na svojich stránkach a aktuálne situáciu stále riešia.

Kompletné detaily o víruse zatiaľ nie sú k dispozícii, podľa informácií Ubiquiti ale potvrdene minimálne dve jeho varianty využívajú chybu vo firmvéri opravenú už v júli minulého roka, konkrétne vo firmvéri 5.6.2 pre zariadenia airMAX M. Podľa spoločnosti v obehu môžu byť ale tri varianty vírusu. V každom prípade Ubiquiti zároveň aj v tomto oznámení ubezpečuje, že firmvér 5.6.2 je bezpečný.V starších verziách firmvérov sa nachádzala chyba, ktorá útočníkovi umožnila na zariadeniach s dostupným webovým rozhraním získať plný prístup k zariadeniu. Poslednou verziou firmvéru, ktorá mala túto chybu obsahovať, je u airMAX M zariadení verzia 5.6.1 zo začiatku júla minulého roka.

Niektorí užívatelia v súčasnosti hlásia detekciu infekcie ale aj na zariadeniach s novším firmvérom. Podobne RadioLan podľa informácií spolumajiteľa Filipa Križka pre DSL.sk detekoval škodlivý kód aj na zariadeniach s firmvérom 5.6.4, nevylučuje ale skoršiu infekciu ešte pred upgradom pri predchádzajúcej verzii firmvéru. Detailné informácie operátor analyzuje. Rovnako podľa informácií Simony Hrtánkovej z Isperu útok nedokázali zastaviť ani najnovšie verzie firmvéru po 5.6.4.Bližšie informácie a či niektorých užívateľov vrátane slovenských poskytovateľov zasiahla na rozdiel od verzií analyzovaných Ubiquiti Networks verzia vírusu zneužívajúca aj nejakú inú zatiaľ verejne neznámu zraniteľnosť v novších respektíve posledných verziách firmvéru zisťujeme.

V každom prípade Ubiquiti v pondelok zároveň s oznámením vydala novú verziu firmvéru 5.6.5 pre airMAX M zariadenia, ktorej účelom podľa popisu je odstrániť prípadnú infekciu. Zároveň táto verzia nepovoľuje ale upravené štartovacie skripty, ktoré červ využíval, a pre nasadenie u väčších ISP tak nemusí byť vhodná. Pre týchto zákazníkov odporúča Ubiquiti používať verziu 5.6.4. Nová verzia tiež štandardne zapína logovanie pomocou syslog.

Ubiquiti tiež vydala nástroj umožňujúci vyčistiť infikované zariadenie na diaľku.Červ si získal prezývku Motherfucker, okrem iného podľa kombinácie mena a hesla ktoré volí. Aký účel chceli autori červom dosiahnuť nie je zatiaľ jasné.
RadioLan.V prípade RadioLan sa začali infekcie objavovať v sobotu a problém naplno prepukol v noci zo soboty na nedeľu. Vírus infikoval ako klientské WiFi zariadenia u zákazníkov tak zariadenia prístupovej siete.Vírus podľa informácií Križka prechádza po infikovaní viacerými stavmi a pri včasnom zásahu ho je možné úspešne odstrániť. RadioLan v noci na nedeľu začal riešiť tzv. krízový plán a napísal si skript, ktorý postupne zariadenia odvirovával, bohužial mali byť opakovane infikované.

V neskorších fázach podľa dostupných informácií môže vírus zneprístupniť zariadenie nastavením vlastného prístupového kľúča alebo ho uviesť do továrenských nastavení. Sprevádzkovať takéto zariadenia je už ale potrebné individuálne.Prístupovú sieť sa podarilo RadioLanu obnoviť podľa Križka v nedeľu doobeda. Aktuálne ale eviduje ešte približne tisícku problémových klientov.Isper.Isperu bolo infikovaných približne 600 zariadení, pričom takmer všetky boli zresetované do továrenských nastavení.

Podobne ako RadioLanu sa Isperu podarilo časť zariadení, cca 30%, ochrániť.Obnovenie infikovaných zariadení väčšinou vyžaduje fyzický prístup ku každému jednému zariadeniu a ich obnova ešte prebieha.Isper ani RadioLan zatiaľ neavizujú, dokedy by mali vyriešiť problémy všetkých zákazníkov.



CSIRT varuje před útoky na Ubiquiti jednotky. Virus kosí Wi-Fi sítě v Česku

V poslední době obdrželo Ubiquiti několik zpráv o napadení systému airOS na neaktualizovaných zařízeních. Odhaduje se, že by bez internetu mohly být řádově tisíce uživatelů.Tak se nám zase viry dostaly do republiky. „Jedná se o HTTP/HTTPS malware, který útočí převážně na starší zařízení bez aktuálního firmwaru. Vir nevyžaduje ověření, infikuje i zaheslovaná zařízení. První napadá jednotky s veřejnou IP adresou a pak se šíří dál do sítě. Podle aktuálních informací postihl tento virus také klienty několika poskytovatelů internetového připojení v ČR,“ tvrdí varování na stránkách CSIRTu.

Ubiquiti je značka síťového hardwaru, která je v tuzemsku populární především mezi lokálními providery. Už včera varoval i prodejce síťových prvků i4wifi, který popisuje i příznaky útoku a možné řešení situace s tím, že v některých případech je možné vyřešit problém na dálku. Analytik Pavel Bašta bezpečnostního týmu popsal pro ČTK princip viru tak, že dotčená zařízení nastaví do tzv. výchozího stavu. Využívá přitom chybu ve webových službách, která má za následek úplnou kontrolu nad zařízením. Tato zranitelnost by měla být opravena ve firmware verzi 5.6.5.

Problém se může týkat podle odhadů řádově tisíců uživatelů. Česko je totiž v Evropě bezdrátovou velmocí. A to především kvůli liknavému přístupu tehdejšího Českého Telecomu k rozšiřování ADSL. Na přelomu tisíciletí tak vzali lidé připojení k rychlému internetu do svých rukou a po celé republice vznikala malá sdružení, která se postupně proměňovala v providery.

Do pátrání po škodách se zapojilo i další veřejnoprávní médium. Podle Radiožurnálu s infekcí bojuje například jihlavská firma M-Soft, kde technici musí osobně navštívit 1500 domácností. Další napadené antény opravují na dálku. Podle informací firmy jsou stejné problémy i na Děčínsku a Náchodsku. Problémy v minulých dnech však hlásili i poskytovatelé v Havlíčkově Brodě, Mnichově Hradišti nebo v Příbrami. Starší zařízení po napadení přestala fungovat. Problémy začaly v sobotu a pracovníci havlíčkobrodského providera museli dojet k desítkám zákazníků a zařízení znovu nastavit.

Admin
Admin

Počet príspevkov : 32
Join date : 15.07.2014

Zobrazit informácie o autorovi http://servis.forumsk.com

Návrat hore Goto down

Zobraziť predchádzajúcu tému Zobraziť nasledujúcu tému Návrat hore


 
Povolenie tohoto fóra:
Nemôžete odpovedať na témy v tomto fóre.