[GTER] Vulnerabilidade rádios UBNT

[Márcio Elias Hahn do Nascimento]

Pois é, muito estranho. 

Estou tentando entender como essa infecção
está se propagando, sem gerencia aberta entre os clientes ou para a
internet. 

De qualquer forma, sobre o cabo serial ttl, vi uns pra
vender na internet (mercado livre) que são usado para acesso ao Arduino,
acho que vou pegar um pra ver se com ele consigo acesso serial.


---

Att 

Márcio Elias Hahn do Nascimento
(48) 8469-1819 / 3524-0700
- marcio at sulonline.net
INOC-BR: 52977*100
GERÊNCIA DE RECURSOS DE TIC -
Sul Internet [4] 

 [4] 

Em 29/08/2016 11:22, Alexandre J. Correa
(Onda) escreveu: 

> Não achei nenhum rádio aqui ainda, também temos
nossa gerencia restrita..
> 
> No site do openwrt existe o pinout ...
vou pedir um amigo/vizinho aqui 
> para postar um equipamento desse e
ver se consigo acessar a CLI serial 
> dele..
> 
> muito estranho... o
que mata é a falta de transparencia da UBNT em 
> ESCONDER o máximo
possível...
> 
> Essa é a desvantagem de se abrir o 'mercado' na bolsa,
não podem criar 
> alarde.... uma sacanagem com o consumidor...
> 
>
daqui uns dias outro 'm0th3r fuck3r' congela a rede do pessoal... e 
>
ficamos com o prejuízo novamente...
> 
> Em 29/08/2016 10:41, Márcio
Elias Hahn do Nascimento escreveu:
> 
>> Alexandre, tentei confeccionar
esse cabo e ganhar acesso a um NS, mais não tive sucesso! Até consegui
obter informações na porta, mais é como se a configuração da serial não
estivesse certa, recebi somente caracteres ilegiveis. Você teria o
esquema correto para acesso? Tenho alguns poucos equipamentos com esse
problema, mais tenho curiosidade de entender melhor o que está
acontecendo para poder me proteger melhor. Nossos equipamentos de
clientes são acessíveis apenas pela rede utilizada pelo NOC, e todas as
conexões de portas baixas entrantes de outros destino são dropadas. A
curiosidade é como alguns equipamentos mesmo assim foram afetados? ---
Att Márcio Elias Hahn do Nascimento (48) 8469-1819 / 3524-0700 -
marcio at sulonline.netINOC-BR: 52977*100 GERÊNCIA DE RECURSOS DE TIC - Sul
Internet [3] [3] Em 27/08/2016 13:37, Alexandre J. Correa (Onda)
escreveu: 
>> 
>>> Este 'worm'
>> que muda para HACKED ROUTER utiliza
credenciais padrões. 
>> 
>>> Para poder
>> obter informações, teria que
ligar um cabo serial-ttl no Em 27/08/2016 11:48, Junior Meira escreveu:
Caio, bom dia. Poderia informar em qual versão isto acontece?.
>> 
>>>
om> escreveu:
>> px; border-left:#1010ff 2px solid; margin-left:5px;
width:100%"> Bom dia pessoal. Vocês têm conhecimen
>> 
>>> omento é o
hostname do rádio que é alterado. Duas ocorrências encontradas:
*Ocorrencia hostname 1: HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD*
*Ocorrencia hostname 2: HACKED-ROUTER-HELP-SOS-HAD-DUPE-PASSWORD*
​Depois de infectado, ele mantem apenas a porta 22 aber
>> ncias para
acesso são desconhecidas.​ Caio Silva -- gter list
https://eng.registro.br/mailman/listinfo/gter [1][1] -- gter list
https://eng.registro.br/mailman/listinfo/gter [1][1] -- Fwd: a
*Alexandre Jeronimo Correa* / CEO
> 
> -- 
> Fwd: a
> 
> *Alexandre
Jeronimo Correa* / CEO
> _alexandre at onda.net.br
<mailto:alexandre at onda.net.br>_ / Office +55 34 
> 3351 - 3077
> 
>
*ONDA INTERNET*
> +55 34 3351-3077
> Av. Benedito Valadares, 217 -
Centro - Sacramento - MG - BR
> _http://www.onda.net.br
<http://www.onda.net.br/ [2]>_
> 
> --
> gter list
https://eng.registro.br/mailman/listinfo/gter [1]
 

Links:
------
[1]
https://eng.registro.br/mailman/listinfo/gter
[2]
http://www.onda.net.br/
[3]
https://en<div>

> https://en
</div>/mailman/listinfo/gter</a>[2]<ahref=
[4]
http://www.sulinternet.net