Pages

15 de maio de 2016

Malware Ubiquiti AirOS - O que é verdade... e o que não é!

Essa semana, um novo malware que explorou uma falha antiga e conhecida nas versões antigas do airos deu o que falar!

Com isso, muitos especuladores saíram por aí falando coisas que não são verdades.

Eu, apesar de trainer oficial, não ganho nada da ubiquiti. Nenhum benefício, nenhuma quantia em dinheiro, NADA!

Quem acompanha nossos treinamentos na network education sabe muito bem que defendemos o que é melhor pro cenário de nossos clientes, independente de marca. Mikrotik onde serve, ubnt onde serve, cisco onde serve, juniper onde serve e assim por diante.

O fato, é que muitos não fizeram a lição de casa e estão atacando a marca como se fosse tudo culpa exclusiva dela.

Sim, a falha foi grave, ela existe e a ubnt tem sim culpa! Mas calma..  NESSE PONTO!

10 meses depois de um aviso oficial ser lançado nos canais OFICIAIS, quem foi afetado não pode simplesmente colocar a culpa no fabricante. Podem até tentar convencer, mas só estão assumindo que não fizeram o dever de casa.

Vamos aos fatos:

Primeiro, o que é a HackerOne?


Conforme a própria descrição do site:

"Criado pelos líderes de segurança do Facebook, Microsoft e Google, HackerOne é a primeira plataforma de coordenação de vulnerabilidade e recompensas por bug. Nós capacitamos as empresas para proteger os dados de consumo, confiança e lealdade, trabalhando com a comunidade global de pesquisa em torno de seus problemas de segurança mais relevantes. "


Ok...

No dia 01 de Julho de 2015, um usuário do HackerOne que se identifica como 93c08539 ( Perfil:  https://hackerone.com/93c08539 ) reportou uma falha grave no AirOS ( exatamente essa que está, agora, sendo explorada ).


Ele então explica como explorar a falha e alerta: Any script kiddie can use it.



No dia 15 de Julho de 2015 ele alerta:

"Recentemente, li o artigo sobre o botnet airos, e só agora eu vejo a gravidade de sua situação atual. Eu só quero que você saiba que eu não tenho nenhuma intenção de colocar esta vulnerabilidade em público (pelo menos não nos próximos 6 meses), se houver necessidade eu vou mantê-lo privado mais de um ano, pois há muita gente que não atualiza os roteadores freqüentemente. Agora eu só estou interessados na recompensa."


No mesmo dia 15 de julho, ele obtém uma resposta da Ubiquiti através do Matt:

Apenas uma atualização do nosso lado ... nós temos um patch pronto para airos e será lançando v5.6.2 (acho que amanhã). Nós vamos fazer um anúncio que há uma vulnerabilidade de segurança grave. Você poderia adiar os detalhes desta publicação para ~ 6 meses ou mais para garantir que nossos usuários tenham tempo suficiente para se preparar?

No dia 18 de Julho de 2015 ( 3 dias depois ), ele postou uma mensagem sobre o update da Ubiquiti:

OK, o problema foi corrigido na última atualização, em 6 meses eu vou pedir uma divulgação pública. Este bug pode ser fechado.

Então no dia 19 de Julho de 2015, o Matt encerra o report e a Ubiquiti paga a ele 18 mil dólares pela descoberta!

E somente no dia 14 de Janeiro de 2016 é que esse report se tornou público.

Tudo isso pode ser conferido aqui: https://hackerone.com/reports/73480

No dia 29 de Julho de 2015, o próprio Matt faz o anúncio no canal OFICIAL da empresa:

http://community.ubnt.com/t5/airMAX-Updates-Blog/Security-Release-for-airMAX-TOUGHSwitch-and-airGateway-Released/ba-p/1300494



E avisa:

É altamente recomendável fazer upgrade para as versões mais recentes, o mais rapidamente possível. Se você tiver alguma dúvida, sinta-se livre para abrir um novo tópico ou me envie um e-mail (matt@ubnt.com).

Junto com uma nota:

NOTA: Esta vulnerabilidade foi relatada através do nosso programa de recompensa  por bugs feita por hackers em privado. Neste momento não temos nenhuma razão para acreditar que há algum vazamento desta informação ou exploits conhecidos.

Porém, do dia 14 de janeiro pra frente, quando ela se tornou pública, alguém desenvolveu o famoso motherfucker e começou um longo scan por dispositivos AirOS.

Quando rodou o ataque, o resultado todos conheceram.


Em nenhum momento estou dizendo aqui que não houve erro por parte da UBNT, porém, dizer o que estão dizendo sobre a empresa, como se ela fosse simplesmente irresponsável, é no mínimo MALDADE!

SEJAMOS JUSTOS COM OS FATOS, POIS CONTRA ELES NÃO HÁ ARGUMENTOS.

E NA PRÓXIMA, APRENDA A LER OS CHANGELOGS E ACOMPANHAR OS CANAIS OFICIAIS.

Um forte abraço,


Eliandro Pacheco

Postar um comentário