Wirus atakuje urządzenia Ubiquiti
Jeśli popsuł się Wam dzisiaj bezprzewodowy internet a dostawca usługi klął gdy odbierał telefon (lub nie odbierał, bo biegał i klął) to pozdrówcie firmę Ubiquiti, której urządzenia mają błąd pozwalający na zdalne wykonanie kodu bez uwierzytelnienia, oraz autora wirusa, który od parunastu godzin infekuje wszystko co na drzewo nie ucieka.
Urządzenia Ubiquiti
W oparciu o urządzenia Ubiquiti działa wiele sieci bezprzewodowych na całym świecie. Wirus infekuje przede wszystkim urządzenia wystawione na publicznych adresach IP, ale każde zainfekowane urządzenie może infekować kolejne, co oznacza, że jeśli dane urządzenia widzi inne w tej samej podsieci (ale już na adresach prywatnych) to je także może zainfekować. Jednym z najprostszych testów weryfikacji, czy urządzenie jest zainfekowane, jest obecność konta „mother” w pliku /etc/passwd. Wątki z opisem metod ratowania urządzeń oraz sposobem działania wirusa znajdzie w wersji angielskiej oraz polskiej – wymagana jest m. in. aktualizacja oprogramowania.
Dziękujemy za Wasze zgłoszenia problemu.
Podobne wpisy
- Zobacz SMS-y, za pomocą których próbowano zainfekować Pegasusem telefony polskich polityków
- Tysiące ataków Pegasusem, czyli co naprawdę mogło się stać w NIK-u
- Uwaga na atak panoszący się właśnie m.in. na polskim Twitterze
- Wiadomo już kto był celem ataku na użytkowników CCleanera
- Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy
By było zabawniej to najnowsze firmware z strony Ubiquity jest prawdopodobnie podatne się okazuje (są raporty o infekcjach na najnowszym fw… tylko kto wie, może mieli zainfekowane w wcześniejszej wersji i zrobili jedynie update).
Coś rodzice ostatnio narzekali na jakoś internetu dostarczanego przez lokalnego (radiowego) dostawcę… ;-)
Internet zrywało. Nawet był wzywany na miejsce pracownik. Może ma to związek. ;-)
Czy dotyczy to też sprzętu przewodowego?
Jeśli były zmienione domyślne porty http, https i ssh wirus nie infekował urządzeń.
Jeśli już doszło do zarażenia i zmienione zostaną domyślne porty, nie rozprzestrzenia się dalej.
Całe szczęście że mam zapasowe łącze
Przydałby sie TLDR na czym polega sam atak. Czy chodzi o domyślna konfiguracje czy 0day w jednym z serwisów wystawiancych przez urządzenie?
Raczej 0day
A nie dziura w OpenSSL? Wyłączenie HTTPS i zmiana portów leczy sprawę.
https://trzepak.pl/viewtopic.php?p=433311#p433311
Okazuje się, że są już dwie wersje:
https://trzepak.pl/viewtopic.php?f=26&t=51641&start=225#p433344
Też mnie to interesuje – jak będą jakieś konkretne potwierdzone informacje zrobicie update?
UBNT wypuściło nowszy firmware 5.6.5
Jakos zawsze UBNT wydawalo mi sie takie cipkowate… A ich community przypomina community fanboyow Apple. Na forum MTK czesto poleca sie AP od UBNT i raczej zlego slowa o nich nie mowi podczas gdy na forum UBNT rzadko slyszy sie cos dobrego o MTK. Zreszta w sumie sprzet tez przypomina sprzet Apple… Ogolne wrazenie jest takie ze ta firma poswieca wiecej uwagi latwosci obslugi, designowi i idiotoodpornosci niz mozliwosciom.
MikroTik rulez xD (tak wiem, ze na MTK w swoim czasie tez byly ataki)
Zwykly backdoor polaczony z killswitchem. Nic nowego. Taka sama sprawa byla w sieciowkach Intela. No to sie NSA wsciekla, ze Rosja czy Chiny im taka swinie podlozyly. :)
ubiquiti
http://scr.hu/36yg/p4epg