UBNT - virus "Skynet"

[motorolarulez]

Pro jistotu upozornuji na nasledujici clanek na Rootu : http://www.root.cz/clanky/virus-v-be...terech-skynet/

Dneska sedim u cisticich skriptu od casneho rana, takze opravdu nejde o smyslene informace.

[JejKey]

Rozumím tomu dobře, že pokud mi AP běží na alternativním portu a s HTTPS, tak můžu být v klidu?

Každopádně díky za info!

[motorolarulez]

Samotny exploit jsem jeste neanalyzoval, ale v nekterych pripadech jsem byl nucen hodit administraci na alternativni port a zatim se tam zpatky nic neobjevilo *tuk tuk*

[Caleb]

Ja to odchytl ve fazi, kdy byly nakazene jenom zarizeni na verejkach, konkurence takove stesti nemela, sejmulo jim to vetsinu klientu. Kazdopadne jedna z nejvetsich "legraci" co ja pamatuju v tomto oboru.

Alternativni port pomuze proti sireni tohoto konkretniho viru, HTTPS pry neresi nic, protoze na HTTP stale bezi redirect. Jedina obrana proti tomu exploitu je firmware 5.3.5 a 4.0.1.

[motorolarulez]

Presne tak, pokud by to nekomu pomohlo a vyuzival sluzeb AirMonu, tak lze postupovat nasledovne :

V AirMonu zvolit na klientovi Execute Command a vyplnit nasledujici : cd /etc/persistent/;rm rc.poststart;rm -rf .skynet;cfgmtd -w -p /etc/;reboot

Po rebootu provest update FW na posledni verzi, kterou maji u UBNT na strankach. Jsou to verze, ktere vyse vzpominal Caleb.

Pripadne lze nejdriv provest update FW a nasledne odmazavat, osobne jsem to radsi udelal naopak. Update FW nakazu NERESI, je nutne ji odstranit rucne / jinym zpusobem. Urcite nasledne vymenit hesla, dle informaci v clanku uz budou asi na ceste nekam do tramtarie.

EDIT : Malem bych zapomnel - pokud z nejakeho duvodu neprovedete / nestihnete provest upgrade FW, Skynet se tam zase vrati. Idealne tedy postupovat smerem od infrastruktury k jednotlivym klientum nebo dle zapojeni site (propojene stanice se po nejake dobe mezi sebou opet infikuji).

[Jezevec]

Rozumím tomu dobře, že pokud mi AP běží na alternativním portu a s HTTPS, tak můžu být v klidu?

Každopádně díky za info!

Pokud sem to pochopil, tak tomu rozumis spatne - ziskas tim jen trochu casu (nez ten port virus najde).

[Caleb]

Tento virus zkousi pouze port 80. Navic, pokud zaviruje zarizeni, tak od jeho IP adresy scanuje dalsi IPcka smerem nahoru. Proto mnoho siti dopadlo tak, ze jim skynet napadnul zarizeni na verejkach, ale do vnitrni site se nedostal, protoze napr. z adresy 7x.x.x.x k 192.x.x.x.x je opravdu cesta daleka. Navic vir dost vytezoval samotne zarizeni, v kterem po case dosla pamet a kouslo se. Tj. je realne, ze by se k neverejkam ani neprokousal.

Je potreba si uvedomit tu vec, ze je nutno upgradnou vsechny FW nizsi nez 5.3.5, ne kvuli skynetu, ale kvuli one bezpecnosti dire, ktera umoznuje plne ovladnout libovolne zarizeni od UBNT. Vir vyuziva podvrzeni URL, diky ktere se kdokoliv bez znalosti hesla dostane na stranku admin.cgi, kde lze s rootovskymi pravy do zarizeni nahravat libovolne soubory a poustet libovolne prikazy - a je to uzivatelsky velice privetive. Kdokoliv bude mit pristup do vnitrni site (tj. libovolnej klient), kde je nejaky UBNT s FW nizsim nez 5.3.5 tak velice jednoduchym skriptem se da napr. vymazat konfigurace ze vsech zarizeni naraz atd. Rucne to zvladne i 10ti lete dite, navod je stale vystavenej na root.cz.

Takze vsichni upgradujte, protoze tohle je snad nejvetsi bezpecnosti dira, kterou jsem kdy videl !

[Jezevec]

Problem vidim v tom, ze hromadu tech krabek pouzivaj BFUcka a ty ani netusej ze by se neco takovyho melo aktualizovat. A kdyz si predstavim, ze to same se bude driv nebo pozdejs tykat televizi, lednic ... proste uplne kazdyho domaciho zarizeni ... a "support" vyrobce na to bude mozna 1/2 roku, pak zacne delat jinej model s oranzovejma dverma a s o verzi jinym chipem ....

[Caleb]

No problem s aktualizacema je dnes takovej, ze casto je v novych verzich neco opraveneho a bohuzel neco jineho zase rozbiteho. Obecne celej SW prumysl dnes dohnal ten HW v tom, ze betatesteri jsou zakaznici. Takze dnes uz neplati, ze nova verze = lepsi.

Co se tyce chytrejch lednic, tak opravdovej problem lze ocekavat s prichodem IPv6. Dnes vetsina sitovych zarizeni sedi relativne bezpecne za NATem.

[Marty]

Ledničky bych jako problém zatím neviděl, těch s ethernetem mezi národem zatím moc nebude... zato u televizí, nad 10K má ethernet snad už každá a masírka o přístupu na net a aplikacích do TV se na nás hrne ze všech stran. No, sranda to nebude...

[Jezevec]

Na druhou stranu, aspon bude pracicka ... kdyz zi trotl v autoservisu co neumi do 5ti pocitat rekne 800/hod ... tak za "opravu" TV bych to videl tak 2k/hod ...

2Caleb: Mi rikej, sem patchul ja vul mikrotika a pak sem 1/2 roku cekal na verzi, ktera opravi co ten patch rozbil. Proste sem se uz prakrat poucil ze neni dobry spravovat, co neni rozbity. Tudiz napr firemni SQLko neni patchovany od ty doby, co na nem bezi ostrej provoz (= par let). A voiala, zrovna nedavno (2Marty - Peter povidal jak zakaznik patchnul) se mi to celkem vyplatilo.

[Caleb]

No Mikrotik je kapitola sama pro sebe, specialne na bezdratu se kazda verze chova jinak. Aktualni verze je myslim 5.11, bezne se ale pouziva 3.30. Obecne tahle firma jde krute do ...., kvalita routerboardu jde strme dolu, nove produkty jsou casto spis k smichu nez nejaka realna alternativa k UBNT. Osobne Mikrotiku predpovidam budoucnost firmy, ktera bude vyrabet chytre dratove routery a switche, ve vzduchu jim opravdu vlak ujizdi.

Jinak stejnej pristup mam i ja k serverum. Pokud to funguje a neni odhalena nejaka opravdu blba bezpecnostni dira (viz ssh a bind v minulosti), tak zasadne neaktualizuju, neni totiz nic lepsiho nez na ostrem serveru resit to, ze se v nejakem konfiguraku zmenila syntaxe. Vzdycky si musim s usmevem ve tvari vzpomenout, jak sem pri problemy s maily aktualizoval ClamAV. Klienti me bombardovali a Clam mi do konzole vypisoval chybovou hlasku s uvodnim textem "DON'T PANIC! "

[Jezevec]

nj, router, mailserver a dalsi co je do netu se bohuzel aktualizovat musi ... tam to beru tak, ze pripadny vypadek je holt dan za to, ze to udrzuju +- aktualni (+mam pripravenou nouzovku).

[Voky]

chapu to spravne ze staci tam ted nahrat ten opravnej firmware 4.0.1 a je hotovo ??

edit ja jen ze v siti mame cca 700 ks ubnt smejdu a pochybuju ze vsechny maji novy firmwary, i 2.2.1 jsem tam nekde videl

[Caleb]

Chyba postihuje pouze FW 5.x.x a 3.6.1 a vyssi. Takze klasicke NS2 a NS5 jsou z obliga, 3.6.1 je hodne novej FW, vicemene primej predchudce FW 4.0