[caiu] Virus UBNT

Alexandre J. Correa (Onda) alexandre em onda.net.br
Dom Maio 15 15:05:33 BRT 2016


A falha foi publicada e informada algum tempo e a UBNT não fez nada.

conforme o HackerOne

https://hackerone.com/93c08539

Eu mesmo, ha uns 2 meses tinha visto um site com o exploit. é bem 
simples o processo para acessar o radio:

Via HTTP ou HTTPS, é feito um injection na URL, o bug permite ENVIAR um 
arquivo para dentro do rádio, sem pedir senha. No caso do virus, o 
criador dele faz upload de um /etc/passwd com usuarios e senhas 
definidos por ele, então, deste ponto o worm acessa via SSH, instala 
vários scripts (inclusive baixa do download.openwrt.org alguns daemons 
prontos para mips), e passa a fazer scan na rede por equipamentos com o 
problema... após um tempo ( 18 horas +-) ele da um reset no rádio e 
volta ele para configuração default.

Ele também troca o SSID, bloqueia as portas 80 e 443 (via iptables)


Em 15/05/2016 14:44, Diego Canton de Brito escreveu:
> Pessoal, também postaram no fórum um APK para android que promete fazer
> o mesmo, parece ter sido desenvolvido por um membro (VLAD) do fórum
> UBNT, o código esta no GITHUB e acaba de ser anunciado no GooglePlay,
> ELE NÃO É OFICIAL, mas facilita, NÃO TESTEI.
>
> https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval
>
>
> ---
>
> Em 2016-05-15 14:37, Felippe Alves Constantino escreveu:
>
>> Diego,
>>
>> Esse script "wget -qO-
>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>> | sh" reseta o rádio, ou volta continua a configuração que está sem o vírus?
>>
>> Att.
>>
>> Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
>> gabriel at fasttelecom.net.br> escreveu:
>>
>> Fixo e lan
>>
>> Em 15/05/2016 14:26, Ronan Ramos escreveu:
>>
>> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
>> Ronan
>>
>> -----Mensagem Original-----
>> De: "Felippe Alves Constantino" <fconstantino at gmail.com>
>> Enviada em: ‎15/‎05/‎2016 14:12
>> Para: "Lista das indisponibilidades da Internet brasileira" <
>> caiu at eng.registro.br>
>> Assunto: Re: [caiu] Virus UBNT
>>
>> Boa tarde!
>>
>> Esse script "wget -qO-
>>
>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>> vírus?
>>
>> Att.
>>
>> Em 15 de maio de 2016 14:08, José Nilton <jn at linkcariri.com> escreveu:
>>
>> Boa tarde alguém ja identificou por qual porta esta vindo esse vírus e ip ?
>>
>> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>> diegocanton at ensite.com.br> escreveu:
>>
>> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor, por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
>> sendo
>> filtrada no comando, removido todos os demais dados e apresentado apenas
>> os
>>
>> IPs possivelmente infectados, pois não são válidos e comuns as consultas
>> pelo domínio "." (Domínio Ponto)
>> Como disse quando postei o comando, ele deve ser executado em seu
>> servidor
>>
>> DNS.
>> --
>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
>> -03:00 de Andrio Prestes Jasper < mascaraapj at gmail.com> :
>>
>> Esses ips são da sua rede? provavelmente estão infectados.
>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 at gmail.com >
>> escreveu:
>>
>> Senhores, Executei o comando aqui nos servidores DNS, o que tem de retorno, é
>> apenas
>> IPs, um abaixo do outro.
>>
>>> Isso significa que esta limpo??
>>>
>>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
>> mascaraapj at gmail.com >
>> escreveu:
>>
>>> meu caro, caso tenha acompanhado... não importa a complexidade dasenha,
>> o
>> virus consegue entrar assim mesmo, pois a falha que ele explora não
>> precisa
>>
>> de autenticação.
>>
>> Eu também achei que não tinha problema.
>> Até rodar o comando abaixo no servidor DNS, foi quando descobri
>> alguns
>> clientes infectados mas que ainda não tinha dado problema.
>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
>> cut
>> -f5-8 -d "." | cut -f3 -d " "
>> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual at gmail.com
>> escreveu:
>>
>> Eu tenho que admirar viu. A culpa desse caos são dos descuidadosdonos
>> de
>> provedores de meia boca que cometem a gafe de deixar seusequipamentos
>> na
>> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.). Venho acompanhando isso em forum polones a varios meses que falam
>> de
>> coisas
>> localizadas no leste Europeu, assim como um famoso rootkit que se
>> camufla
>> nos equipamentos MK (alguem se lembra dos cracks do autocad quemandava
>> arquivos para a China?).
>> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>>
>> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
>> 5.64.
>> Não
>> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
>> não
>> permitir trocar o usuario master (tem que ser ubnt). Consegui somente
>> via
>> Cli.
>> Quanto ao EdgeRouter vai pelo mesmo rumo.
>>
>> Demais coisas beijos e abraços e boa sorte, ja que aprender a
>> lingua
>> inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
>> - _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>> --
>> Andrio Prestes Jasper
>> Celular: (65) 9320-3170 / 8444 0040
>> _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
> --
>
> Att.
> Felipe L Gobetti
>    fel3456 at gmail.com
> (44) 9829 6093
> _______________________________________________
> caiu mailing list
>    caiu at eng.registro.br
>    https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
>    https://eng.registro.br/mailman/options/caiu
>
> --
> Andrio Prestes Jasper
> Celular: (65) 9320-3170 / 8444 0040
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>   _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
> -- José Nilton
> Telefone : ( 88 ) 9612 - 0564
> Skype : jn at linkcariri.com
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
>   _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
>   
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu


-- 
Sds.

Alexandre Jeronimo Correa
Onda Internet
Office: +55 34 3351 3077
www.onda.net.br



Mais detalhes sobre a lista de discussão caiu