URGENTE: Grave vulnerabilidad en Ubiquiti.

URGENTE: Grave vulnerabilidad en Ubiquiti.

0

Se ha descubierto una vulnerabilidad remota que permite obtener acceso de usuario administrativo en los Ubiquiti que tienen la versión AirOS v3/5 y AirOS v5 sin ningún tipo de autenticación. Hay que tener en cuenta lo siguiente:
[blockquote]

  1. La vulnerabilidad es en el servidor http que le permite a los usuarios saltar la autenticación y ejecutar comandos
  2. Un worm se aprovecho del bug anterior y se está expandiendo, afectando a los dispositivos vulnerables

[/blockquote]

Para prevenir el punto 1 es necesario actualizar el firmware, el cual también previene el 2.

Los dispositivos afectados son:

  • Productos 802.11 AirOX v3.6.1/v4.0 (versiones anteriores no afectadas)
  • Productos AirMaxAirOS v5 (todas las versiones)

Las versiones actualizadas son:

  • v4.0.1 – Equipos 802.11
  • v5.3.5 – Equipos AirMax
  • v5.4.5 – AirSync Firmware

Cómo saber si está infectado?

Si el equipo está infectado tendrá el siguiente comportamiento:

  1. Se renombra admin.cgi a adm.cgi (se puede chequear con el navegador luego de loguearse)
  2. Crea un script al inicio en /etc/persistent (se puede chequear corriendo el comando ls -la /etc/persistent y buscar por .skynet)

Cómo eliminarlo manualmente ?

Los pasos para remover el worm manualmente son los siguientes:

  1. Loguarse vía SSH en el equipo
  2. cd /etc/persistent
  3. rm rc.poststart
  4. rm -rf .skynet
  5. cfgmtd -w -p /etc/
  6. reboot

Cómo eliminarlo con la herramienta AirControl:

Con la herramienta AirControl es posible ejecutar comandos en los equipos por lotes, los pasos son:

  1. En el AirControl, seleccionar multiples dispositivos
  2. Click derecho y seleccionar Tasks/Operations
  3. Elegir Ejecutar Comando
  4. En el campo comando colocar «rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;» sin comillas
  5. Click Done

Cómo protegerse con MikroTik RouterOS ?

Se puede agregar unas reglas de firewall para evitar que se tenga acceso a los dispositivos Ubiquiti desde internet.

Regla layer7 para detección del acceso:

/ip firewall layer7-protocol add name=ubnt-fix regexp="^.*admin\.cgi.*$"

Regla de Firewall (Se debe cambiar la in-interface por la WAN)

/ip firewall filter
add action=drop chain=forward disabled=no src-address-list=!ubnt-admin-allow 
    dst-port=80 in-interface=ether1 layer7-protocol=ubnt-fix protocol=tcp

Opcional: Realizar un Bypass de la protección para direcciones IP especificas

/ip firewall address-list add address=1.1.1.1 disabled=no list=ubnt-admin-allow

Es importante tomar los recaudos necesarios para evitar el acceso HTTP a los equipos desde Internet. Se pueden descargar los firmware actualizados desde el sitio oficial.

Vía: Ubiquiti, Download Firmware, Greg Sowell

MKE Solutions SA

Paraná 416
5800 - Río Cuarto
Córdoba - Argentina

info@mkesolutions.net
https://www.mkesolutions.net

Teléfonos

Argentina: +54 358 4210029
Panamá: +507 833 7878
España: +34 924 469010
México: +52 55 41708237

MKE Solutions

©2008-2024 MKE Solutions.