Zaslal: út květen 17 2016, 21:39 Předmět: Ubiquiti - pozor na virus Motherfucker
Už jsem to dnes řešil a dokonce se všimli i na Seznamu.
ISP jsou z toho nešťastní a zde je článek na root.cz. _________________ .
..
...
Ať žije zdejší FOSILOVNA
Nemůže to obtěžovat i jiné typy routerů.
V posledních třech dnech jsem si všiml, že mi vypadává signál Wifi.
Můj router TP link má otevřen port 22, ale není to postaveno na airOS.
Ten port je tam otevřen v nových firmware, kdy se dá zařízení ovládat přes android.
To je klasický SSH port. Je otázka, jestli ten SSH port je otevřen i na WAN (směrem ven)? Kdyby jo, tak by to v nastavení mělo jít vypnout, nebo ten port změnit na jiný (ještě jsem takový TP-Link v ruce neměl).
P.S. Zjednodušeně ten script pro AirOS zruší přístup k nastavení přes http+https (port 80+443) a přenastaví SSID pro WiFi na motherfucker. To vše je jenom bžunda, protože to jde právě přes SSH opravit. Dalo by se škodit daleko víc, např. to nastavení shodit do defaultu, což by u ISP s několika stovkami zařízení byla pěkná pakárna. _________________ .
..
...
Ať žije zdejší FOSILOVNA
Ono je to jeden z těch modernějších routerů 1043ND v2(3) něco jako Archer C7 ale nemá 5GHz Wifi. S novým firmware lze nainstalovat aplikaci pro android a ovládat ho s ní. Vypnout v nastavení routeru se tohle zatím nedá pokud to teda nepoužíváš. Jinak je tam právě ta nejaktuálnější verze fw. Stará údajně měla chybu v možnosti napadení hesla a uživatelského přístupu.
http://cz.tp-link.com/pages/common/promos/app_tether_v2.html
Ne port je otevřen jen zevnitř. Ale otázka je jestli se ten virus nešíří i do PC a odtud by taky mohl napadnout SSH ve vnitřní síti.
Bude to pouze pro ty Ubiquity, ve vnitční síti by musel napadnout PC s Linuxem a překonat přihlášení (login+password) a nebo nějakou díru. Ta doufám že už od aféry heartbleed není (chyba v OpenSSL).
Ten Archer C7 už jsem někomu doporučoval. Díval jsem se, že už existuje třetí revize https://wikidevi.com/wiki/TP-LINK_Archer_C7_v3.x , ale furt s Qualcommem (Atheros), což se divím, že by dělalo přes WiFi neplechu. _________________ .
..
...
Ať žije zdejší FOSILOVNA
No jo virus může nejvíce škodit jen UBNQ.
Ten jsem si chtěl koupit, ale ten bez WiFi s jedním optickým vstupem.
Pak jsem to zavrhl. Má v sobě OS EdgeOS.
Je ale otázkou, když budu v linuxu posílat nějaké ty příkazy, jak se budou chovat ostatní stroje, které to přímo nenapadne, ale může třeba zablokovat pro nečekané linuxové instrukce, které také znají.
Já tam mám na tom routeru třeba trvale připojen Android box.
Takže taktéž linuxový stroj.
Pokud jsi se díval na můj odkaz na to dálkové ovládání routeru
je tam Required System: iOS 7.0 or later, Android 4.0 or later.
Takže to má v sobě i připravené ovládání asi i pro iOS i když aplikaci na to možná nemají.
Podle toho zveřejněného scriptu by nic jiného dělat neměl, samozřejmě se na základě tohoto problému může objevit něco dalšího (využije stejnou díru v neupdatovaných AirOS) a to může ubližovat daleko víc.
Ve vnitřní síti by musel opravdu použít nějaký brute force útok a pokusit se na nějakou službu přihlásit, ale tohle řeší slušné heslo a např. obrana proti opakovanému přihlášení. Na Linuxu proti tomuto používám fail2ban, kterým si hlídám přihlašování do všech služeb (ssh, proftpd, owncloud, phpmyadmin, wordpress, postfix, dovecot atd.), takže 3x a dost, protože útočící IP adresa dostane ban na 24 hodin.
V logu to vypadá takhle:
No jo jenže tady žádný brutální útok, třeba programem Brutus nebo něčím podobným na zjištění hesla není potřebný.
V linuxu je bezpečnostní díra, takže se jednoduchý skript přihlásil bez hesla a dělal si v zařízení co se mu zlíbilo. Nebylo problém dokonce skript upravit tak, že by si zevnitř otevřel všechny porty.
Takže víceméně by jsi mohl mít heslo jak dlouhé chtěl a tvé ochranné programy a přesto ti to nepomůže.
Takhle to vůbec není, protože nejde o bezpečnostní díru v Linuxu!
To jenom firma Ubiquity zprasila to své webové rozhraní, kterým se nastavují její výrobky se systémem AirOS a díky tomu tam vznikla zmíněná díra. Tzn. že pouze skrz to webové rozhraní se dá dostat dovnitř. Navíc tu díru (prej) mají jen dvě předposlední verze firmwarů. _________________ .
..
...
Ať žije zdejší FOSILOVNA
MÁM DOMÁCÍ ROUTER ZA BRANOU FIREWALL A K NĚMU JE DRUHÝ ROUTER PŘIPOJEN PŘES WIFI WDS. ANI JEDEN NEMÁ AIR OS.
A TEĎ CHTĚL JSEM SE PŘIHLÁSIT NA JEDEN Z ROUTERŮ, TEDY TEN CO JE SPOJEN MOSTEM A VYSKOČIL MI MÍSTO PŘIHLAŠOVACÍHO DIALOGU DO MÉHO ROUTERU PŘIHLAŠOVACÍ DIALOG DO AIR OS.
Nemůžete odesílat nové téma do tohoto fóra. Nemůžete odpovídat na témata v tomto fóru. Nemůžete upravovat své příspěvky v tomto fóru. Nemůžete mazat své příspěvky v tomto fóru. Nemůžete hlasovat v tomto fóru. Nemůžete připojovat soubory k příspěvkům Můžete stahovat a prohlížet přiložené soubory
Informace na portálu Elektro bastlírny jsou prezentovány za účelem vzdělání čtenářů a rozšíření zájmu o elektroniku. Autoři článků na serveru neberou žádnou zodpovědnost za škody vzniklé těmito zapojeními. Rovněž neberou žádnou odpovědnost za případnou újmu na zdraví vzniklou úrazem elektrickým proudem. Autoři a správci těchto stránek nepřejímají záruku za správnost zveřejněných materiálů. Předkládané informace a zapojení jsou zveřejněny bez ohledu na případné patenty třetích osob. Nároky na odškodnění na základě změn, chyb nebo vynechání jsou zásadně vyloučeny. Všechny registrované nebo jiné obchodní známky zde použité jsou majetkem jejich vlastníků. Uvedením nejsou zpochybněna z toho vyplývající vlastnická práva. Použití konstrukcí v rozporu se zákonem je přísně zakázáno. Vzhledem k tomu, že původ předkládaných materiálů nelze žádným způsobem dohledat, nelze je použít pro komerční účely! Tento nekomerční server nemá z uvedených zapojení či konstrukcí žádný zisk. Nezodpovídáme za pravost předkládaných materiálů třetími osobami a jejich původ. V případě, že zjistíte porušení autorského práva či jiné nesrovnalosti, kontaktujte administrátory na diskuzním fóru EB.