Bienvenido a la Comunidad UBNT

Herramienta para remover malware 15-05-2016

UBNT-SalvadorUBNT-Salvador 2594 Puntos
editado julio 2016 en airMAX
Estimados,
Como algunos habrán visto en nuestra comunidad en inglés, https://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940/page/7, estos últimos días ha habido un gran número de reportes de equipos que corren airOS infectados por un virus.  De acuerdo a las muestras de equipos atacados que hemos analizado, estos están siendo afectados por un exploit conocido que fue solucionado el año pasado, como pueden ver en este artículo. Les recordamos que todos los equipos deben SIEMPRE tener el último firmware instalado.

Este exploit HTTP/HTTPS no requiere autenticación, por lo que tener el firmware desactualizado expone a los equipos. Este es el motivo por el cual es EXTREMADAMENTE importante tener el último firmware en todos sus equipos.

Los equipos con los siguiente firmware están protegidos contra el ataque y no se ven afectados. De todas formas recomendamos a los usuarios actualizar a la versión 5.6.5. Sin embargo, si el usuario hace uso legítimo de los rc.script, se aconseja quedarse con la versión 5.6.4 que si puede correr estos scripts. Lo que pueden hacer es actualizar a 5.6.5 para quitar el malware y luego bajar a 5.6.4.

airOS M
  • v5.6.2 o superior
  • v5.5.11 o superior
  • v5.5.10u2 o superior
airOS AC
  • v7.1.3 o superior
Toughswitch
  • v1.3.2 o superior
airGateway
  • v.1.1.5 o superior
airFiber 
  • 2.2.1 o superior (AF5/AF24/24HD)
  • 3.0.2.1 o superior (AF X)
Hemos visto unos pocos casos de equipos con firmware 5.6.2 afectados, pero en todos los casos se ha debido a que habían equipos usando firmwares anteriores a 5.6.2 que usaban el mismo usuario y contraseña, por lo que los atacantes pudieron obtener el usuario y contraseña que es común a ambos equipos.

Existe una herramienta para eliminar el malware, la cual puede ser descargada desde aquí:

Es importante mencionar que la herramienta requiere JAVA y sólo corre en MacOS X / Linux / Windows. Es importante recordar que al actualizar a la versión 5.6.5 todos los scripts rc.script serán eliminados.

Cómo usarla
java -jar CureMalware-0.7.jar

Ejemplo

C:\Users\ubnt\Downloads>java -jar CureMalware-0.7.jar
Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices

Copyright 2006-2016, Ubiquiti Networks, Inc. <support@ubnt.com>

This program is proprietary software; you can not redistribute it and/or modify
it without signed agreement with Ubiquiti Networks, Inc.


Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 192.168.1.31
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 3
Enter ssh port [22]:
Enter user name [ubnt]: ubnt
Reuse password <y|n>[y]: y
Processing ubnt@192.168.1.31:22 ...
Password for ubnt@192.168.1.31:
Checking...
CRITICAL: Infected by exploitim
WARNING: User Script(s) is(are) installed:
/etc/persistent/rc.poststart
Review/remove manually!
Done.
Cleaning...
Done.
IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
Preparing Upgrade...
Done.
Uploading firmware: /firmwares/XM.bin ...
Sending... [%100]
Done.
Upgrading...
Current ver: 329220
New version: 329221
No need to fix.
Writing 'u-boot ' to /dev/mtd0(u-boot ) ... [%100]
Writing 'kernel ' to /dev/mtd2(kernel ) ... [%100]
Writing 'rootfs ' to /dev/mtd3(rootfs ) ... [%100]
Done.

Remover manualmente

Make sure there is no unknown users and ssh keys in system.cfg:

grep -E "users|sshd.auth.key" /tmp/system.cfg

We recommend removing all custom scripts is you are not using them:
rm -fr /etc/persistent/rc.* /etc/persistent/profile

Then
cfgmtd -w -p /etc/; reboot -f

If you also are not using ssh key authentication then it is recommended to clean persistent:
cfgmtd -w; reboot -f

El firmware 5.6.5 incluye las siguiente mejoras
  • Deshabilita el uso de los rc.scripts
  • Habilita syslog por defecto
  • Herramienta integrada para eliminar el malware
Puede ser descargada desde aquí:

Pueden encontrar recomendaciones de seguridad aquí: https://help.ubnt.com/hc/en-us/articles/219006928-Securing-airOS
Complementando estas medidas es simple RECOMENDABLE crear reglas en el firewall de cada equipo que permitan que sólo pueda ingresarse vía SSH/HTTP/HTTPS desde las direcciones IP del NOC del ISP.

Saludos,
flavio20diazmercadoRasalazar
«13

Comentarios

  • gpechieugpechieu 2 Puntos
    Salvador, confirmo que tuve un par de 5.6.2, pero ya solucionados (fueron lo minimo) Total de CPE entre Argentina y España fueron mas de 2500. Estoy primero bloqueando acceso con iptables exepto la ip de la que estoy ingresando, finalizo los servicios afectados. Elimino el .tar y elimino el /.mf
    Seguido de esto actualizo al momento el firmware al 5.6.4 dejando el CPE listo
    ICOTEC
  • jesusivjesusiv 236 Puntos
    Cuales son los síntomas?
  • Salvador perdona , ayer por la tarde sufrimos un reseteo de mas de 100 antenas provocadas por el atake ,estas antenas que se han reseteado por el virus tenian una version XM 5.5.x , mi pregunta si solo actualizando el ultimo firmware xm5.6.4 , no deberiamos de tener problemas.gracias
  • anotheranother 26 Puntos
    Madre mía que locura, más de 2500... joooder....
    Nosotros tenemos aún alrededor de 300 antenas con versiones 5.5.X pero claro, ni de coña accesibles desde la calle ni por el cliente....
    No nos hemos visto afectados.... por el momento!
  • odopasodopas 3 Puntos
    Buenos dias a todos, quisiera saber si existe alguna manera de prevenir el ataque antes de que llegue a nuestra red? Es decir ya he creado algunas reglas en mi borde que impiden el acceso a las ip de OpenWRT, admas de denegar el acceso desde afuera excepto para los clientes que tienen ip publicas, pero sera esto suficiente?

    Se que me diran que lo mejor es actualizar los firmware pero la verdad seria muy dispendioso ademas de que tengo habilitado el compliance test en algunos equipos y si hago una actualizacion masiva tendria muchos problemas.

    Muchas gracias.

    Estos son los scripts que he utilizado para el bloqueo preventivo, tomados de la pagina de MKE Solutions.

    Enviamos a una lista “virus ubnt temp” los equipos que intenten acceder a downloads.openwrt.org

    /ip firewall filter
    add action=add-src-to-address-list address-list="virus ubnt temp" address-list-timeout=15m chain=forward comment="ataque UBNT - MKE" content=downloads.openwrt.org dst-port=80 protocol=tcp src-address-list="!virus ubnt temp"
    add action=drop chain=forward comment="ataque UBNT - MKE" src-address-list=OpenWRT
    add action=drop chain=forward comment="ataque UBNT - MKE" dst-address-list=OpenWRT
    add action=drop chain=forward comment="ataque UBNT - MKE" content=downloads.openwrt.org


    Deshabilitar el acceso desde afuera de la red interna a los puertos 21, 22, 80 y 443. Reemplazar “sfp1” por el nombre de la interfaz WAN.

    add action=drop chain=forward comment="ataque UBNT - MKE" dst-address-list="!clientes con acceso web permitido" dst-port=21,22,80,443 in-interface=sfp1 protocol=tcp

    Crear una lista temporal con las direcciones IP de OpenWRT.

    /ip firewall address-list
    add address=78.24.191.177 list=OpenWRT


    Ademas he creado un script que detecta otras posibles ips de OpenWRT en caso de que cambien.

    /system script
    add name="Ips OpenWRT" owner=admin policy=\
        ftp,reboot,read,write,policy,test,password,sniff,sensitive source="# Scrip\
        t para buscar  IPS de OpenWRT\r\
        \n:foreach i in=[/ip dns cache all find where (name~\"openwrt\") && (type=\
        \"A\") ] do={\r\
        \n:local tmpAddress [/ip dns cache get \$i address];\r\
        \ndelay delay-time=10ms\r\
        \n \r\
        \n#prevent script from using all cpu time\r\
        \n:if ( [/ip firewall address-list find where address=\$tmpAddress] = \"\"\
        ) do={\r\
        \n:local cacheName [/ip dns cache get \$i name] ;\r\
        \n:log info (\"added entry: \$cacheName \$tmpAddress\");\r\
        \n/ip firewall address-list add address=\$tmpAddress list=OpenWRT comment=\
        \$cacheName;\r\
        \n \r\
        \n}\r\
        \n}"


    y lo corro cada minuto con el siguiente schedule

    /system scheduler
    add interval=1m name="Ips OpenWRT" on-event="Ips OpenWRT" policy=\
        ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\
        startup


  • UBNT-SalvadorUBNT-Salvador 2594 Puntos
    Si tenían equipos con firmware 5.5.x que estaban vulnerables y pudieron haber sido atacados, es MUY importante que cambien la password de todos los equipos de su red si es que usan el mismo usuario y contraseña.

    Saludos,
  • Podéis comprobar si estáis infectos si os sale un texto como el siguiente:

     

    C:\ubnt>java -jar CureMalware-0.7.jar
    Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices

    Copyright 2006-2016, Ubiquiti Networks, Inc. <support@ubnt.com>

    This program is proprietary software; you can not redistribute it and/or modify
    it without signed agreement with Ubiquiti Networks, Inc.


    Possible formats for IP(s):
    IP <192.168.1.1>
    IP list <192.168.1.1, 192.168.1.2>
    IP range <192.168.1.1-192.168.1.254>
    Enter IP(s): 192.168.201
    Possible actions:
    Check [1]
    Check and Cure [2]
    Check, Cure and Update [3]
    Enter action <1|2|3>: 2
    Enter ssh port [22]: 22
    Enter user name [ubnt]: ubnt
    Reuse password <y|n>[y]: n
    Processing ubnt@192.168.1.201 ...
    Password for ubnt@192.168.1.201:
    Checking...
    Not infected by .skynet or pimpampum or exploitim
    Done.
    Cleaning...
    Not infected by .skynet or pimpampum or exploitim
    Done.
    IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!

    C:\ubnt>

  • AEDAED 1 Point
    Es posible que el ataque haya reseteado el equipo pero no esté infectado? Tengo varios equipos que se han reseteado pero no están infectados según el CureMalware oficial.  
  • antrabe2antrabe2 42 Puntos
    y las betas son igual de seguras que las 5.6.4?
  • edgarsoleredgarsoler 11 Puntos
    Si los AP y CPE no tienen acceso desde fuera de la red interna, es decir no tienen acceso directo desde Internet ya sea vía HTTP/HTTPS/TELNET o cual sea el servicio... ¿Es posible que sean infectados?
  • jg0007jg0007 53 Puntos
    Hola   @UBNT-Salvador

    Me entero que existe un virus para el sistema airOS
    En toda mi red ejecuto un Scripts el cual es de suma importancia para mi

    Acabo de probar el Firmware 5.6.5 el cual elimino mi scripts como puedo mantener mi scripts activado en el nuevo Firmware 5.6.5

    Esta opción es muy drástica debería ser poco más flexible
    - New: Disable custom scripts usage
    vicent_nb1
  • vicent_nb1vicent_nb1 43 Puntos
    jg0007 dijo:

    Hola   @UBNT-Salvador

    Me entero que existe un virus para el sistema airOS
    En toda mi red ejecuto un Scripts el cual es de suma importancia para mi

    Acabo de probar el Firmware 5.6.5 el cual elimino mi scripts como puedo mantener mi scripts activado en el nuevo Firmware 5.6.5

    Esta opción es muy drástica debería ser poco más flexible
    - New: Disable custom scripts usage

    Venia a decir esto, te haces tu mismo una cosa para hacerte la vida mas facil y luego viene @ubnt y lo quita, a este ritmo la unica alternativa sera poner un mkt :-(

    @UBNT-Salvador Vais a quitarlos tambien en la gama airmax ac (wa/xc)? Vais a volveros a habilitar en un futuro?
  • UBNT-SalvadorUBNT-Salvador 2594 Puntos
    El tema de los script son que son la puerta de entrada a cualquier virus en un futuro, por eso lo mejor es quitarlo.
    Si han estado usando scripts para liberar frecuencias, pueden enviar un email a support@ubnt.com y pedir el firmware license si tienen una licencia válida.

    Saludos,
  • vicent_nb1vicent_nb1 43 Puntos

    El tema de los script son que son la puerta de entrada a cualquier virus en un futuro, por eso lo mejor es quitarlo.

    Si han estado usando scripts para liberar frecuencias, pueden enviar un email a support@ubnt.com y pedir el firmware license si tienen una licencia válida.

    Saludos,
    Fantastico, y si no hemos estado usando scripts para liberar frecuencias que hacemos?

    @UBNT-Salvador Vais a quitarlos tambien en la gama airmax ac (wa/xc)? Vais a volveros a habilitar en un futuro?
  • UBNT-SalvadorUBNT-Salvador 2594 Puntos
    Hola,
    Lo que pueden hacer es subir a la versión 5.6.5 para eliminar el virus y luego volver a la versión 5.6.4 la cual SI soporte rc.scripts. Además de esto, en unos días lanzaremos una nueva versión de 5.6.5 con soporte para rc.scripts

    Saludos!
    vicent_nb1jg0007diazmercado
  • vicent_nb1vicent_nb1 43 Puntos

    Hola,

    Lo que pueden hacer es subir a la versión 5.6.5 para eliminar el virus y luego volver a la versión 5.6.4 la cual SI soporte rc.scripts. Además de esto, en unos días lanzaremos una nueva versión de 5.6.5 con soporte para rc.scripts

    Saludos!
    Ok, gracias por contestar. Entiendo que airos 7.2 no se tocara?
  • antrabe2antrabe2 42 Puntos
    como saber si tenemos el virus?
  • insidepcinsidepc 2 Puntos

    Buenos días hay alguna forma de desactivar el DFS en los
    Rocket, con las últimas versiones.

    Un Saludo.

  • jorgencabojorgencabo 22 Puntos
    ¿hay alguna forma de hacer un cambio de contraseña masivo?
  • jg0007jg0007 53 Puntos
    Hola @jorgencabo claro que si puedes cambiar la contraseña a todos tu dispositivos desde airControl2

    Puede descargarlo desde este link

    http://community.ubnt.com/t5/airControl-2-Beta/AC2-Beta21-released/m-p/1556312#U1556312
    redcamaleon
  • Muchas gracias por el tutoria, equipo de nuevo en linea al 100%
  • insidepcinsidepc 2 Puntos

    Buenos días hay alguna forma de desactivar el DFS en los
    Rocket, con las últimas versiones

    Un Saludo.

  • GranHarinGranHarin 6 Puntos
    Bueas Noches  @UBNT-Salvador  

    Tienes Algunas Reglas de Firewalls para evitar a futuro cualquier Otro Ataque.

    Acabo de Actualizar mi red de AirOS-M a la Version 5.6.2;

    Me recomiendas pasarla a una Nueva?

    Atento, Muchas Gracias
  • garrotegarrote 19 Puntos
    Hola, UBNT_salvador: como dices arriba, hay que cambiar la contraseña de tus dispositivos. Pero si ya la tenias cambiada a una propia tuya, hay que cambiarla también, es decir el gusano que ha entrado se prodria guardar nuestra contraseña??
  • BALMBALM 1301 Puntos
    consulto y si uno esta usando alguna de las ultimas beta?

    no les afecta..?
  • LuisbeLuisbe 13 Puntos
    Saludos a toda la comunidad. Este virus que daños provoca?
  • Muy buenas tardes desde Colombia reportando cerca de 12 Equipos Infectados entre NanoStation M5, NanoStation Loco M5 y AirGrid M5 principalmente, con versiones 5.5.8 y 5.5.9, me causa curiosidad y alarma ver URLs del proyecto OpenWRT en los scripts, Alguien sabe exactamente que hace el scrip aparte de quitar el acceso web de los equipos y agregar el usuario "mother" ¿se sabe si se comprometen datos como contraseñas u otros datos sensibles?, Ojala Ubiquiti Nos regale una explicación después de analizar los scripts!
  • afdrafdr 1 Point
    Perdon la molestia, yo descargue el aircontrol release 22 que contiene un antimalware. Ejecute el antimalware en toda la red, en su gran mayoría mis equipos tenian la 5.6.4. Supuestamente eliminó el malware (al final de la tarea lanzó el mensaje: clean), pero ahora no puedo actualizar a la 5.6.6. Al subir el archivo de actualización y pasar el 50% de progreso devuelve un error, como si el CPE no tuviera conexión a la red, pero presionas F5, si tengo acceso al equipo. Si intento actualizar desde aircontrol, lanza el siguiente error: unexpected SSH error: channel is broken. A alguien ya le pasó?
  • donrobertdonrobert 73 Puntos
    A pesar de todo, instale Versión:
    v5.6.6 (XM)
    y Aircontrol Ejecute el Antimalware y me sale esto
    BulletM2
    https://dl.dropboxusercontent.com/s/2neou6aphlz6osf/XM-00156D8C2389.sup

  • A nosotros nos ataco el Virus, teníamos prácticamente todas las antenas Airmax con una versión vulnerable. 

    El virus:

    1. Cambio clave de acceso a los APS y punto a punto
    2. modifica constantemente los valores de la antena y esta cambia su ccq de manera constante, a veces CCQ alto y ping normal, a veces sin ping y sin navegación, en eso se la pasa va y viene el servicio.
    3. Los clientes en modo router quedan insensibles por WAN o por LAN, y con varioación de Ping y CCQ similar al otro caso, por LAN aparece una pantaya que dice Home Gateway con fondo azul y no deja ingresar con los password configurados previamente tampoco...

    Lo estamos solucionando llendo nodo por nodo, cliente por cliente a resetear actualizar y reenganchar... 

    Es una tarea ardua...

    Hay alguna manera de recuperar la contraseña para empezar a hacerlo remotamente.???

    Gracias por su ayuda
Este hilo ha sido cerrado.