Forum

Vulnerabilidade em produtos Ubiquity

Postado por Luciano Santana dos Santos em 20 de Dezembro de 2011 às 3:11pm

Foi anunciado no fórum da Ubiquity a descoberta de uma vulnerabilidade que permite o acesso HTTP de forma a permitir o acesso sem o uso de senhas.

O problema afetas as seguintes versões:
  • Produtos 802.11 (antigos) - AirOS v3.6.1/v4.0 (versões anteriores não são afetadas)
  • Produtos AirMax - AirOS v5.x (todas as versões)
Já foi liberada uma atualização, que se encontra disponível no site oficial.
-- 



luciano.santos
supervisor - netsul telecom
about.me

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: UBNT, malware, ubiquity, vulnerabilidade
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Pedro Filho 22 de Dezembro de 2011 as 12:27am

    isso é serio, irei até deixar o topico fixo por uns dias aqui...

  • Luciano Santana dos Santos 22 de Dezembro de 2011 as 7:36am

    Deixei um post bem completo sobre o assunto, baseado na thread do forum:
    Wisp[tik] Guy 

  • Sandro Cadore 22 de Dezembro de 2011 as 10:51am

    Segue um link com filtro Layer 7 para conter essa praga http://gregsowell.com/?p=3428

  • Luciano Santana dos Santos 22 de Dezembro de 2011 as 11:09am

    O Kivio Braga postou na lista da GTER o IP para o qual o worm estabelece comunicação. É o IP 178.216.144.75, e ele postou uma sugestão de regras para adicionar no firewall (Linux).

    iptables -t filter -N SKYNET
    iptables -t filter -A FORWARD -p tcp -d 178.216.144.75 -j SKYNET
    iptables -t filter -A FORWARD -p tcp -s 178.216.144.75 -j SKYNET
    iptables -t filter -A SKYNET -s 178.216.144.75 -p tcp -j LOG --log-prefix 'DROP ATAQUE_SKYNET_UBNT: '
    iptables -t filter -A SKYNET -d 178.216.144.75 -p tcp -j LOG --log-prefix 'DROP ATAQUE_SKYNET_UBNT: '
    iptables -t filter -A SKYNET -s 178.216.144.75 -p tcp -j DROP
    iptables -t filter -A SKYNET -d 178.216.144.75 -p tcp -j DROP

     

    Abaixo disponibilizo regras para os firewalls do RouterOS na versão 4 (legacy) e 5 (stable):


    RouterOS 4

    add action=jump chain=input comment="Skynet" disabled=yes jump-target=SKYNET
    add action=jump chain=forward comment="Skynet" disabled=yes jump-target=SKYNET
    add action=log chain=SKYNET disabled=no log-prefix="DROP ATAQUE_SKYNET_UBNT" protocol=tcp src-address=178.216.144.75
    add action=add-dst-to-address-list address-list=SKYNET-INFECTED address-list-timeout=1w chain=SKYNET disabled=no protocol=tcp src-address=178.216.144.75
    add action=drop chain=SKYNET disabled=no protocol=tcp src-address=178.216.144.75
    add action=log chain=SKYNET disabled=no dst-address=178.216.144.75 log-prefix="DROP ATAQUE_SKYNET_UBNT" protocol=tcp
    add action=add-src-to-address-list address-list=SKYNET-INFECTED address-list-timeout=1w chain=SKYNET disabled=no dst-address=178.216.144.75 protocol=tcp
    add action=drop chain=SKYNET disabled=no dst-address=178.216.144.75 protocol=tcp


    Router 5


    add action=jump chain=input comment=SKYNET disabled=no jump-target=SKYNET
    add action=jump chain=forward comment=SKYNET disabled=no jump-target=SKYNET
    add action=log chain=SKYNET disabled=no log-prefix=SKYNET protocol=tcp src-address=178.216.144.75
    add action=add-dst-to-address-list address-list=SKYNET_INFECTED address-list-timeout=1w chain=SKYNET disabled=no protocol=tcp src-address=178.216.144.75
    add action=drop chain=SKYNET disabled=no protocol=tcp src-address=178.216.144.75
    add action=log chain=SKYNET disabled=no dst-address=178.216.144.75 log-prefix=SKYNET protocol=tcp
    add action=add-dst-to-address-list address-list=SKYNET_INFECTED address-list-timeout=1w chain=SKYNET disabled=no dst-address=178.216.144.75 protocol=tcp
    add action=drop chain=SKYNET disabled=no dst-address=178.216.144.75 protocol=tcp

    Obs.: Deixei criar uma address-list mais para facilitar a identificação de algum equipamento infectado.

     

  • Rogerio 22 de Dezembro de 2011 as 12:04pm

    Site ubnt.com esta fora do ar hoje de manha.

  • Luciano Santana dos Santos 22 de Dezembro de 2011 as 1:26pm

    Aqui tem links para os firmwares que peguei ontem. Estão hospedados no 4shared.

This reply was deleted.