Vulnerabilidade na linha Ubiquity

skynet

Foi anunciado no dia 19 de Dezembro de 2011 uma vulnerabilidade em parte dos firmwares dos produtos Ubiquity.  A vulnerabilidade conhecida como “Skynet” permite o acesso sem a necessidade de autenticação. Faz parte da vulnerabilidade ainda um worm que permite a autopropagação.

Quando o worm se instala ele:

  1. Altera o admin.cgi to adm.cgi (você pode checar isso através do browser depois de se autenticar)
  2. Cria um script de inicialização no /etc/persistent (você pode checar rodando ls -la /etc/persistent e verificar por .skynet)

Se você quiser desabilitar o worm de forma manual, antes de atualizar o firmware, pode ser feito da seguinte forma:

  1. SSH into device
  2. cd /etc/persistent
  3. rm rc.poststart
  4. rm -rf .skynet
  5. cfgmtd -w -p /etc/
  6. reboot
Isso removerá o worm, mas não impedirá que o equipamento volte a ser infectado. Se você utilizar o AirControl pode remover a praga de vários equipamentos de forma simplificada:
obs.: Saiba mais em Execute/Schedule Device Operations
  1. No AirControl, selecione vários dispositivos
  2. Clique com o botão direito, e selecione Tasks/Operations
  3. Escolha Execute Command
  4. No campo comando, digite “rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;” — sem aspas
  5. Clique em Done

As versões afetadas dos firmwares são:

  • Produtos  802.11 – AirOS v3.6.1/v4.0 (versões anteriores não afetado)
  • Produtos AirMax – AirOS v5.x (todas as versões)
As versões atualizadas, já disponíveis na seção de download são:
  • v4.0.1 – Produtos ISP 802.11
  • v5.3.5 – Produtos ISP AirMax
  • v5.4.5 – Firmware AirSync

Mais informações no Fórum da Ubiquity e no Under-Linux.

** Atualização – 22/12/2011 – 13:25 **

Estou disponibilizando uma cópia dos firmwares que peguei ontem:



Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s