Vulnerabilidade na linha Ubiquity
Publicado; 20 de dezembro de 2011 Filed under: artigo, bug, news, script, segurança, serviços, tutorial | Tags: Firmware, Internet service provider, Nanostation, Rocket, Skynet, Ubiquity, Worm Leave a comment »
skynet
Foi anunciado no dia 19 de Dezembro de 2011 uma vulnerabilidade em parte dos firmwares dos produtos Ubiquity. A vulnerabilidade conhecida como “Skynet” permite o acesso sem a necessidade de autenticação. Faz parte da vulnerabilidade ainda um worm que permite a autopropagação.
Quando o worm se instala ele:
- Altera o admin.cgi to adm.cgi (você pode checar isso através do browser depois de se autenticar)
- Cria um script de inicialização no /etc/persistent (você pode checar rodando ls -la /etc/persistent e verificar por .skynet)
Se você quiser desabilitar o worm de forma manual, antes de atualizar o firmware, pode ser feito da seguinte forma:
- SSH into device
- cd /etc/persistent
- rm rc.poststart
- rm -rf .skynet
- cfgmtd -w -p /etc/
- reboot
Isso removerá o worm, mas não impedirá que o equipamento volte a ser infectado. Se você utilizar o AirControl pode remover a praga de vários equipamentos de forma simplificada:
obs.: Saiba mais em Execute/Schedule Device Operations
- No AirControl, selecione vários dispositivos
- Clique com o botão direito, e selecione Tasks/Operations
- Escolha Execute Command
- No campo comando, digite “rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;” — sem aspas
- Clique em Done
As versões afetadas dos firmwares são:
- Produtos 802.11 – AirOS v3.6.1/v4.0 (versões anteriores não afetado)
- Produtos AirMax – AirOS v5.x (todas as versões)
As versões atualizadas, já disponíveis na seção de download são:
- v4.0.1 – Produtos ISP 802.11
- v5.3.5 – Produtos ISP AirMax
- v5.4.5 – Firmware AirSync
Mais informações no Fórum da Ubiquity e no Under-Linux.
** Atualização – 22/12/2011 – 13:25 **
Estou disponibilizando uma cópia dos firmwares que peguei ontem:
