Pages

15 de maio de 2016

Malware Ubiquiti AirOS - O que é verdade... e o que não é!

Essa semana, um novo malware que explorou uma falha antiga e conhecida nas versões antigas do airos deu o que falar!

Com isso, muitos especuladores saíram por aí falando coisas que não são verdades.

Eu, apesar de trainer oficial, não ganho nada da ubiquiti. Nenhum benefício, nenhuma quantia em dinheiro, NADA!

Quem acompanha nossos treinamentos na network education sabe muito bem que defendemos o que é melhor pro cenário de nossos clientes, independente de marca. Mikrotik onde serve, ubnt onde serve, cisco onde serve, juniper onde serve e assim por diante.

O fato, é que muitos não fizeram a lição de casa e estão atacando a marca como se fosse tudo culpa exclusiva dela.

Sim, a falha foi grave, ela existe e a ubnt tem sim culpa! Mas calma..  NESSE PONTO!

10 meses depois de um aviso oficial ser lançado nos canais OFICIAIS, quem foi afetado não pode simplesmente colocar a culpa no fabricante. Podem até tentar convencer, mas só estão assumindo que não fizeram o dever de casa.

Vamos aos fatos:

Primeiro, o que é a HackerOne?


Conforme a própria descrição do site:

"Criado pelos líderes de segurança do Facebook, Microsoft e Google, HackerOne é a primeira plataforma de coordenação de vulnerabilidade e recompensas por bug. Nós capacitamos as empresas para proteger os dados de consumo, confiança e lealdade, trabalhando com a comunidade global de pesquisa em torno de seus problemas de segurança mais relevantes. "


Ok...

No dia 01 de Julho de 2015, um usuário do HackerOne que se identifica como 93c08539 ( Perfil:  https://hackerone.com/93c08539 ) reportou uma falha grave no AirOS ( exatamente essa que está, agora, sendo explorada ).


Ele então explica como explorar a falha e alerta: Any script kiddie can use it.



No dia 15 de Julho de 2015 ele alerta:

"Recentemente, li o artigo sobre o botnet airos, e só agora eu vejo a gravidade de sua situação atual. Eu só quero que você saiba que eu não tenho nenhuma intenção de colocar esta vulnerabilidade em público (pelo menos não nos próximos 6 meses), se houver necessidade eu vou mantê-lo privado mais de um ano, pois há muita gente que não atualiza os roteadores freqüentemente. Agora eu só estou interessados na recompensa."


No mesmo dia 15 de julho, ele obtém uma resposta da Ubiquiti através do Matt:

Apenas uma atualização do nosso lado ... nós temos um patch pronto para airos e será lançando v5.6.2 (acho que amanhã). Nós vamos fazer um anúncio que há uma vulnerabilidade de segurança grave. Você poderia adiar os detalhes desta publicação para ~ 6 meses ou mais para garantir que nossos usuários tenham tempo suficiente para se preparar?

No dia 18 de Julho de 2015 ( 3 dias depois ), ele postou uma mensagem sobre o update da Ubiquiti:

OK, o problema foi corrigido na última atualização, em 6 meses eu vou pedir uma divulgação pública. Este bug pode ser fechado.

Então no dia 19 de Julho de 2015, o Matt encerra o report e a Ubiquiti paga a ele 18 mil dólares pela descoberta!

E somente no dia 14 de Janeiro de 2016 é que esse report se tornou público.

Tudo isso pode ser conferido aqui: https://hackerone.com/reports/73480

No dia 29 de Julho de 2015, o próprio Matt faz o anúncio no canal OFICIAL da empresa:

http://community.ubnt.com/t5/airMAX-Updates-Blog/Security-Release-for-airMAX-TOUGHSwitch-and-airGateway-Released/ba-p/1300494



E avisa:

É altamente recomendável fazer upgrade para as versões mais recentes, o mais rapidamente possível. Se você tiver alguma dúvida, sinta-se livre para abrir um novo tópico ou me envie um e-mail (matt@ubnt.com).

Junto com uma nota:

NOTA: Esta vulnerabilidade foi relatada através do nosso programa de recompensa  por bugs feita por hackers em privado. Neste momento não temos nenhuma razão para acreditar que há algum vazamento desta informação ou exploits conhecidos.

Porém, do dia 14 de janeiro pra frente, quando ela se tornou pública, alguém desenvolveu o famoso motherfucker e começou um longo scan por dispositivos AirOS.

Quando rodou o ataque, o resultado todos conheceram.


Em nenhum momento estou dizendo aqui que não houve erro por parte da UBNT, porém, dizer o que estão dizendo sobre a empresa, como se ela fosse simplesmente irresponsável, é no mínimo MALDADE!

SEJAMOS JUSTOS COM OS FATOS, POIS CONTRA ELES NÃO HÁ ARGUMENTOS.

E NA PRÓXIMA, APRENDA A LER OS CHANGELOGS E ACOMPANHAR OS CANAIS OFICIAIS.

Um forte abraço,


Eliandro Pacheco

30 de março de 2016

Novo trojan afeta dispositivos UBNT


Quem tem aquela mania de deixar usuário e senha default ( ou fácil ) e serviços como o ssh escutando as portas default pode acordar com uma novidade.

Existem alguns worms que agora rodam em mips, mips64 e powerpc.

Geralmente eles são utilizados para ataques NTP, então se você tem algum dispostivo com senha padrão, cpu alta ou tráfego alterado repentinamente, verifique os processos usando o top:



Os arquivos ficam instalados na pasta /tmp

Remova com o comando: rm -fr /tmp/* e reinicialize o equipamento.

É recomendável que você faça um reset do equipamento caso tenha sido infectado, mas o comando acima remove os mais conhecidos.

Como é uma das primeiras versões, ele deve "melhorar" com o passar o do tempo, atualmente ele não instala nenhum script nas pastas de inicialização, o "start" dele deve ser remoto.

Uma cópia dos arquivos, com seus nomes originais, pode ser encontrada aqui: http://208.67.1.57/Bot/


12 de janeiro de 2016

Repositórios para versão 1.7 ou superior

Quem já tentou instalar novos pacotes no debian da edgerouter em versões superiores a 1.6.0 pode ter encontrado problemas com os repositórios que estão disponíveis na maioria dos tutoriais encontrados na internet. Isso se deve ao fato da mudança de versão do linux que roda por baixo da plataforma.

A versão 1.7+ utiliza o Debian Wheezy ao invés da Squeeze utilizada na versão anterior (1.6 ), portanto, é necessário atualizar os repositórios para essa versão.

Você pode fazê-lo editando o arquivo sources.list diretamente ou pelos comandos da cli já ensinados neste blog anteriormente.

Segue os repositórios recomendados:

deb http://ftp.br.debian.org/debian wheezy main
deb-src http://ftp.br.debian.org/debian wheezy main

deb http://ftp.br.debian.org/debian wheezy-updates main
deb-src http://ftp.br.debian.org/debian wheezy-updates main

deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main


Lembrando: Utilize apenas o update e o install para pacotes individuais. JAMAIS utilize o upgrade em edgerouter.