Ubiquiti - pozor na virus Motherfucker

[Standa99]

Už jsem to dnes řešil a dokonce se všimli i na Seznamu.
ISP jsou z toho nešťastní a zde je článek na root.cz.

[Mira_A]

Nemůže to obtěžovat i jiné typy routerů.
V posledních třech dnech jsem si všiml, že mi vypadává signál Wifi.
Můj router TP link má otevřen port 22, ale není to postaveno na airOS.
Ten port je tam otevřen v nových firmware, kdy se dá zařízení ovládat přes android.

[Standa99]

To je klasický SSH port. Je otázka, jestli ten SSH port je otevřen i na WAN (směrem ven)? Kdyby jo, tak by to v nastavení mělo jít vypnout, nebo ten port změnit na jiný (ještě jsem takový TP-Link v ruce neměl).

P.S. Zjednodušeně ten script pro AirOS zruší přístup k nastavení přes http+https (port 80+443) a přenastaví SSID pro WiFi na motherfucker. To vše je jenom bžunda, protože to jde právě přes SSH opravit. Dalo by se škodit daleko víc, např. to nastavení shodit do defaultu, což by u ISP s několika stovkami zařízení byla pěkná pakárna.

[Mira_A]

Ono je to jeden z těch modernějších routerů 1043ND v2(3) něco jako Archer C7 ale nemá 5GHz Wifi. S novým firmware lze nainstalovat aplikaci pro android a ovládat ho s ní. Vypnout v nastavení routeru se tohle zatím nedá pokud to teda nepoužíváš. Jinak je tam právě ta nejaktuálnější verze fw. Stará údajně měla chybu v možnosti napadení hesla a uživatelského přístupu.
http://cz.tp-link.com/pages/common/promos/app_tether_v2.html
Ne port je otevřen jen zevnitř. Ale otázka je jestli se ten virus nešíří i do PC a odtud by taky mohl napadnout SSH ve vnitřní síti.

[Standa99]

Bude to pouze pro ty Ubiquity, ve vnitční síti by musel napadnout PC s Linuxem a překonat přihlášení (login+password) a nebo nějakou díru. Ta doufám že už od aféry heartbleed není (chyba v OpenSSL).
Ten Archer C7 už jsem někomu doporučoval. Díval jsem se, že už existuje třetí revize https://wikidevi.com/wiki/TP-LINK_Archer_C7_v3.x , ale furt s Qualcommem (Atheros), což se divím, že by dělalo přes WiFi neplechu.

[Mira_A]

No jo virus může nejvíce škodit jen UBNQ.
Ten jsem si chtěl koupit, ale ten bez WiFi s jedním optickým vstupem.
Pak jsem to zavrhl. Má v sobě OS EdgeOS.
Je ale otázkou, když budu v linuxu posílat nějaké ty příkazy, jak se budou chovat ostatní stroje, které to přímo nenapadne, ale může třeba zablokovat pro nečekané linuxové instrukce, které také znají.
Já tam mám na tom routeru třeba trvale připojen Android box.
Takže taktéž linuxový stroj.
Pokud jsi se díval na můj odkaz na to dálkové ovládání routeru
je tam Required System: iOS 7.0 or later, Android 4.0 or later.
Takže to má v sobě i připravené ovládání asi i pro iOS i když aplikaci na to možná nemají.

[Standa99]

Podle toho zveřejněného scriptu by nic jiného dělat neměl, samozřejmě se na základě tohoto problému může objevit něco dalšího (využije stejnou díru v neupdatovaných AirOS) a to může ubližovat daleko víc.
Ve vnitřní síti by musel opravdu použít nějaký brute force útok a pokusit se na nějakou službu přihlásit, ale tohle řeší slušné heslo a např. obrana proti opakovanému přihlášení. Na Linuxu proti tomuto používám fail2ban, kterým si hlídám přihlašování do všech služeb (ssh, proftpd, owncloud, phpmyadmin, wordpress, postfix, dovecot atd.), takže 3x a dost, protože útočící IP adresa dostane ban na 24 hodin.
V logu to vypadá takhle:

[Mira_A]

No jo jenže tady žádný brutální útok, třeba programem Brutus nebo něčím podobným na zjištění hesla není potřebný.

V linuxu je bezpečnostní díra, takže se jednoduchý skript přihlásil bez hesla a dělal si v zařízení co se mu zlíbilo. Nebylo problém dokonce skript upravit tak, že by si zevnitř otevřel všechny porty.

Takže víceméně by jsi mohl mít heslo jak dlouhé chtěl a tvé ochranné programy a přesto ti to nepomůže.

[Standa99]

Takhle to vůbec není, protože nejde o bezpečnostní díru v Linuxu!
To jenom firma Ubiquity zprasila to své webové rozhraní, kterým se nastavují její výrobky se systémem AirOS a díky tomu tam vznikla zmíněná díra. Tzn. že pouze skrz to webové rozhraní se dá dostat dovnitř. Navíc tu díru (prej) mají jen dvě předposlední verze firmwarů.

[Mira_A]

TAK TO JE TEDA ZAJÍMAVÉ, KDO MÁ VYSVĚTLENÍ.

MÁM DOMÁCÍ ROUTER ZA BRANOU FIREWALL A K NĚMU JE DRUHÝ ROUTER PŘIPOJEN PŘES WIFI WDS. ANI JEDEN NEMÁ AIR OS.
A TEĎ CHTĚL JSEM SE PŘIHLÁSIT NA JEDEN Z ROUTERŮ, TEDY TEN CO JE SPOJEN MOSTEM A VYSKOČIL MI MÍSTO PŘIHLAŠOVACÍHO DIALOGU DO MÉHO ROUTERU PŘIHLAŠOVACÍ DIALOG DO AIR OS.

MÁ NĚKDO VYSVĚTLENÍ ???