UBNT - virus "Skynet"

[motorolarulez]

Pro jistotu upozornuji na nasledujici clanek na Rootu : http://www.root.cz/clanky/virus-v-be...terech-skynet/

Dneska sedim u cisticich skriptu od casneho rana, takze opravdu nejde o smyslene informace.

[JejKey]

Rozumím tomu dobře, že pokud mi AP běží na alternativním portu a s HTTPS, tak můžu být v klidu?

Každopádně díky za info!

[motorolarulez]

Samotny exploit jsem jeste neanalyzoval, ale v nekterych pripadech jsem byl nucen hodit administraci na alternativni port a zatim se tam zpatky nic neobjevilo *tuk tuk*

[Caleb]

Ja to odchytl ve fazi, kdy byly nakazene jenom zarizeni na verejkach, konkurence takove stesti nemela, sejmulo jim to vetsinu klientu. Kazdopadne jedna z nejvetsich "legraci" co ja pamatuju v tomto oboru.

Alternativni port pomuze proti sireni tohoto konkretniho viru, HTTPS pry neresi nic, protoze na HTTP stale bezi redirect. Jedina obrana proti tomu exploitu je firmware 5.3.5 a 4.0.1.

[motorolarulez]

Presne tak, pokud by to nekomu pomohlo a vyuzival sluzeb AirMonu, tak lze postupovat nasledovne :

V AirMonu zvolit na klientovi Execute Command a vyplnit nasledujici : cd /etc/persistent/;rm rc.poststart;rm -rf .skynet;cfgmtd -w -p /etc/;reboot

Po rebootu provest update FW na posledni verzi, kterou maji u UBNT na strankach. Jsou to verze, ktere vyse vzpominal Caleb.

Pripadne lze nejdriv provest update FW a nasledne odmazavat, osobne jsem to radsi udelal naopak. Update FW nakazu NERESI, je nutne ji odstranit rucne / jinym zpusobem. Urcite nasledne vymenit hesla, dle informaci v clanku uz budou asi na ceste nekam do tramtarie.

EDIT : Malem bych zapomnel - pokud z nejakeho duvodu neprovedete / nestihnete provest upgrade FW, Skynet se tam zase vrati. Idealne tedy postupovat smerem od infrastruktury k jednotlivym klientum nebo dle zapojeni site (propojene stanice se po nejake dobe mezi sebou opet infikuji).

[Jezevec]

Rozumím tomu dobře, že pokud mi AP běží na alternativním portu a s HTTPS, tak můžu být v klidu?

Každopádně díky za info!

Pokud sem to pochopil, tak tomu rozumis spatne - ziskas tim jen trochu casu (nez ten port virus najde).

[Caleb]

Tento virus zkousi pouze port 80. Navic, pokud zaviruje zarizeni, tak od jeho IP adresy scanuje dalsi IPcka smerem nahoru. Proto mnoho siti dopadlo tak, ze jim skynet napadnul zarizeni na verejkach, ale do vnitrni site se nedostal, protoze napr. z adresy 7x.x.x.x k 192.x.x.x.x je opravdu cesta daleka. Navic vir dost vytezoval samotne zarizeni, v kterem po case dosla pamet a kouslo se. Tj. je realne, ze by se k neverejkam ani neprokousal.

Je potreba si uvedomit tu vec, ze je nutno upgradnou vsechny FW nizsi nez 5.3.5, ne kvuli skynetu, ale kvuli one bezpecnosti dire, ktera umoznuje plne ovladnout libovolne zarizeni od UBNT. Vir vyuziva podvrzeni URL, diky ktere se kdokoliv bez znalosti hesla dostane na stranku admin.cgi, kde lze s rootovskymi pravy do zarizeni nahravat libovolne soubory a poustet libovolne prikazy - a je to uzivatelsky velice privetive. Kdokoliv bude mit pristup do vnitrni site (tj. libovolnej klient), kde je nejaky UBNT s FW nizsim nez 5.3.5 tak velice jednoduchym skriptem se da napr. vymazat konfigurace ze vsech zarizeni naraz atd. Rucne to zvladne i 10ti lete dite, navod je stale vystavenej na root.cz.

Takze vsichni upgradujte, protoze tohle je snad nejvetsi bezpecnosti dira, kterou jsem kdy videl !

[Jezevec]

Problem vidim v tom, ze hromadu tech krabek pouzivaj BFUcka a ty ani netusej ze by se neco takovyho melo aktualizovat. A kdyz si predstavim, ze to same se bude driv nebo pozdejs tykat televizi, lednic ... proste uplne kazdyho domaciho zarizeni ... a "support" vyrobce na to bude mozna 1/2 roku, pak zacne delat jinej model s oranzovejma dverma a s o verzi jinym chipem ....

[Caleb]

No problem s aktualizacema je dnes takovej, ze casto je v novych verzich neco opraveneho a bohuzel neco jineho zase rozbiteho. Obecne celej SW prumysl dnes dohnal ten HW v tom, ze betatesteri jsou zakaznici. Takze dnes uz neplati, ze nova verze = lepsi.

Co se tyce chytrejch lednic, tak opravdovej problem lze ocekavat s prichodem IPv6. Dnes vetsina sitovych zarizeni sedi relativne bezpecne za NATem.