Bem-vindo à Comunidade UBNT

NOVO VIRUS (Dez. 2016)

andersoncintraandersoncintra 7 Pontos
em airMAX
Olá pessoal,

Identificamos até o momento 4 Airgrid atualizada na versão 5.6.9
que simplesmente não se consegue fazer nada, downgrade ou qualquer outro tipo
de função.


Curioso que alguns continuam navegando, porem quedas constantes,
até o momento foi afetado firmware XM.

 

Uso PPOE para autenticar os clientes (todos válidos), o acesso é
somente local (pela LAN), ao acessar todas as telas não aparece as funções como
imagem em anexo.

Já estão surgindo relatos como informado aqui em outras foruns.

1
2
3

Comentários

  • andersoncintraandersoncintra 7 Pontos
    editado dezembro 2016
    Forum relatando também o problema:

    https://under-linux.org/showthread.php?t=186094
  • doebberdoebber 21 Pontos
    Tmb estou com o mesmo problema em firmwares 5.6.9 e beta 6.0.x radios que foram limpado virus e senha trocada cada radio tem sua propria senha.
  • mirandaeletromirandaeletro 45 Pontos
    editado dezembro 2016
    doebber disse:

    Tmb estou com o mesmo problema em firmwares 5.6.9 e beta 6.0.x radios que foram limpado virus e senha trocada cada radio tem sua propria senha.

    doebber disse:

    @doebber, você também usa ip válido nos clientes?

  • doebberdoebber 21 Pontos
    os infectados no momento sao IPs invalidos e tem firewall com drop entre IPs invalidos. não tive IP valido infectado ate o momento.
  • doebberdoebber 21 Pontos
    por enquanto tive 1 na versao 5.6.9 e uns 10 nas versoes beta 6 beta 11 ate beta 15 eu acho, estou atualizando os outros para versao 6 beta rc2 nova que saiu.
  • bampaybampay 2 Pontos
    Tengo el mismo problema quedan con la version 5.6.9 y después de resetearlo no puedo cambiar la contraseña 
  • doebberdoebber 21 Pontos
    efetuei a troca do radio em alguns clientes, hoje farei alguns testes com o radio pra ver encontro algo ou alguma solução e compartilho aqui.
  • alexranierealexraniere 16 Pontos
    Cara estou na mesma situação desse mesmo jeitinho aqui.... e não estou encontrando solução até agora só dor de cabeça.
  • doebberdoebber 21 Pontos
    Corrigindo versoes beta nao estao sendo afetadas, mas estranhamente houve downgrade para versao 5.6.9 de alguns radios, estou tentando ver se foi algo do radio ou erro humano. estou analisando os radios 5.6.9.
  • doebberdoebber 21 Pontos
    andersoncintra e em outro notebook acessou normalmente, porem nao faz upgrade nem downgrade, ao inves de abrir progresso de atualização abre tela main. segue imagens. vou continuar nos testes.

    tela
  • doebberdoebber 21 Pontos
    editado dezembro 2016
    ATUALIZAÇÃO
    Fiz upgrade do radio que estava com a versao 5.6.9 que ocorria o erro acima para versao 6 bera rc2 via ssh e o problema foi resolvido, após isso pode fazer downgrade para 5.6.9 se quiser, volta a funcionar via web. OBS: após estar novamente ná 5.6.9 o problema nao volta a ocorrer, o radio opera normalmente, acredito ser algum bug ou algo corrompendo a firmware(queda de energia algo do tipo), mas isso não cabe a mim afirmar.
  • andersoncintraandersoncintra 7 Pontos
    Vamos lá..

    Pelo que pude verificar este VIRUS é o mesmo do meio deste ano, novamente ele começou a se propagar pelo discovery a partir dos radios com firmware mais antigo.

    Aqui na empresa possuimos mais de 1000 radios só UBNT, como nosso suporte é centralizado observamos que a partir de um POP onde possuimos clientes muito antigo começaram a ligar, havia conexão na WAN e LAN mais o cliente não navegava, enfim, foram cerca de 8 chamados em 2 dias... na visita do técnico identificamos este problema como na imagem do post (primeira publicação).

    Procurando solução, ao escanear pelo próprio discovery de um radio verifiquei que alguns infectados estava com a descrição "HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED".

    Sugiro isolar a rede o máximo possível e atualizar todos os rádios (clientes e emissores), clientes que não estão navegando por algum motivo recomendo a fazer o mesmo.

    Segue script para atualização por TELNET OU SSH



    Aplicação da Atualização e reboot


    /usr/bin/fwupdate.real -m  VERSAO

    Ficaria assim:
    # /usr/bin/fwupdate.real -m XM.v5.6.9.29546.160819.1157.bin


    VIRUS
  • alexranierealexraniere 16 Pontos
    Onde Posso encontrar esse firmware 6 beta que o amigo mencionou?
  • R4V3RR4V3R 8536 Pontos
    alexraniere disse:

    Onde Posso encontrar esse firmware 6 beta que o amigo mencionou?

    Na área airMAX beta do fórum internacional: https://community.ubnt.com/t5/airMAX-M-Beta/bd-p/airOS_Beta
    Para obter acesso, você tem que solicitar primeiramente, caso ainda não tenho feito isso aqui: https://account.ubnt.com/manage/settings/beta
  • wildeanwildean 1 Point
    tambem estou com o mesmo problema, já fiz o recovery e não resolveu
  • doebberdoebber 21 Pontos
    Se fosse virus com reset resolveria o problema do acesso e update, porem a versao 5.6.9 que da os problemas mesmo restando nao resolve, acho que nao é virus não, certamente se alguem possui versões inferiores a 5.6.9 pode estar com algum virus tentando infectar outros radios, aqui na empresa após propagação dos ultimos virus bloqueamos total comunicação entre clientes nas portas 22,23,80,443, senhas já era adotada uma senha para cada radio, mesmo assim infectava, como são mais de 5000 radios atualizar tudo leva um tempo ainda mais q cada um tem sua senha.
  • oryonbroryonbr 5 Pontos

  • oryonbroryonbr 5 Pontos
    editado dezembro 2016
    A final, houve uma definição sobre o problema?
     é virus mesmo?
     é bug?
    a ubiquiti disse algo?
  • R4V3RR4V3R 8536 Pontos
    oryonbr disse:

    A final, houve uma definição sobre o problema?
     é virus mesmo?
     é bug?
    a ubiquiti disse algo?

    Eu não vi nada referente à um novo virus na comunidade global, e pelas características descritas, parece ser uma nova incidência do mesmo motherfucker de antes, talvez com algumas modificações, mas o mesmo virus.
    A recomendação é limpar os equipamentos, atualizar para as novas versões recém lançadas, e tomar as medidas de segurança cabíveis para proteger os equipamentos.  
  • andersoncintraandersoncintra 7 Pontos
    R4V3R disse:

    alexraniere disse:

    Onde Posso encontrar esse firmware 6 beta que o amigo mencionou?

    Na área airMAX beta do fórum internacional: https://community.ubnt.com/t5/airMAX-M-Beta/bd-p/airOS_Beta
    Para obter acesso, você tem que solicitar primeiramente, caso ainda não tenho feito isso aqui: https://account.ubnt.com/manage/settings/beta

    Se instalou em alguma versão antiga e esta se propagando pelo discorery dos radios, ja tenho versões 6.0 infectadas, na versão mais recente esta de propagando muito rapido.

    Alguem tem o arquivo infectado e pode postar aqui.... vou tentar achar o IP.

  • andersoncintraandersoncintra 7 Pontos
    Se fosse virus com reset resolveria o problema do acesso e update, porem a versao 5.6.9 que da os problemas mesmo restando nao resolve, acho que nao é virus não, certamente se alguem possui versões inferiores a 5.6.9 pode estar com algum virus tentando infectar outros radios, aqui na empresa após propagação dos ultimos virus bloqueamos total comunicação entre clientes nas portas 22,23,80,443, senhas já era adotada uma senha para cada radio, mesmo assim infectava, como são mais de 5000 radios atualizar tudo leva um tempo ainda mais q cada um tem sua senha.
    Estou na mesma situação aqui... são muitos radios... alem do mais temos clientes de usam na madrugada e horários curtos que não conseguimos atualizar, estamos indo cliente por cliente.

    Mas não estou vendo uma solução, provavelmente esta se propagando pelo discorery dos radios, ja tenho versões 6.0 infectadas, na versão mais recente esta de propagando muito rapido.


  • R4V3RR4V3R 8536 Pontos
    @andersoncintra, se as senhas dos equipamentos forem as mesmas e o acesso entre eles ilimitado, isso continuará acontecendo de novo e de novo e de novo, até o pessoal aprender a utilizar os equipamentos da maneira correta. Teve falha da Ubiquiti? teve sim, corrigida lá em junho de 2015, e até hoje tem reflexos disso rodando por aí, inclusive em diferentes versões de vírus por conta de falta de cuidados mínimo com segurança.
  • andersoncintraandersoncintra 7 Pontos
    @R4V3R Poderia sugerir o que seria mais correto.

    Realizei bloqueio das portas 22, 23, 80, 443, 1001 (Discorery) entre outros, isso na época do primeiro incidente.




  • R4V3RR4V3R 8536 Pontos
    @andersoncintra, já que você mencionou a palavra "correto", eu vou discorrer brevemente sobre isso.
    Primeiro de tudo, básico, do básico, do básico mesmo, um dos primeiros passos que se ensina no curso de certificação: Interfaces de gerenciamento dos equipamentos devem ser isoladas em uma VLAN específica para gerenciamento dos mesmos, e jamais expostas à rede de acesso(clientes), e preferencialmente também não à internet. Esse é o primiero passo, e além de ser fundamental, é a base para os demais daqui em diante.
    Depois disso, dependendo do tamanho do provedor pode-se segmentar inclusive as VLANs de gerenciamento de acordo com sua necessidade, pode-se usar uma VLAN por POP, por exemplo, isolando ainda mais os equipamentos, e diminuindo o impacto em caso de problemas relativos à segurança.
    Fora isso, preferencialmente utilizar usuários e senhas diferentes para cada equipamento, como nem sempre isso é simples de se implementar na prática, principalmente quando se tem muitos equipamentos, pode-se segmentar por grupos de senhas, por exemplo, por POPs. Eu também recomendo usuários/senhas diferentes para recursos de rede diferentes, como por exemplo enlances PtP para transporte, e CPEs de clientes, por exemplo, faz sentido inclusive segmentar as interfaces de gerenciamento em VLANs distintas, mas fica à seu critério, segurança nunca é demais.
    Se houver qualquer tipo de acesso da VLAN de gerenciamento para quaisquer outras sub-redes, e principalmente com a internet, o que eu não recomendo, um firewall bem configurado na borda dessa rede é imprescindível, apenas deve ser liberado o tráfego que for absolutamente necessário, nas portas necessárias e vindo de sub-redes ou endereços IP especificados por você.
    Quaisquer serviços que não forem utilizados nos rádios e quaisquer demais equipamentos devem ser desabilitados, ou o firewall nos mesmos configurado para "amarrar" os acessos apenas das fontes absolutamente necessárias.
    Por último, é possível também mudar as portas padrão dos serviços, mas isso tem pouco efeito em termos de segurança e normalmente é utilizado como medida desesperada quando não se seguiu um ou mais dos passos descritos acima.
    É importante salientar que de forma alguma o que descrevo acima são passos específicos para proteger equipamentos Ubiquiti, isso é absolutamente errado. Estes são passos essenciais para proteger QUALQUER equipamento que seja vital para o funcionamento de sua infraestrutura.
    É isso, e olha que eu não sou e nem trabalho com provedores, pelo menos por enquanto. ;)
  • alvaro_xralvaro_xr 1 Point
    Boa tarde, trabalho em um provedor com mais de 2000 rádios UBNT, de sexta-feira para cá, alguns rádios começaram a apresentar os mesmos problemas descritos nos comentários a cima ( versão 5.6.9 ).
    Fizemos esta manhã, diversos testes (todos os testes possíveis e lidos anteriormente), dos quais nenhum surgiu efeito.
    Segue a lista de alguns dos problemas:
    -rádio reseta automaticamente;
    -não é possível upgrade ou downgrade do software;
    -problemas seguem mesmo com o rádio resetado manualmente;
    -após a visita local, reconfigurando o equipamento, horas depois o problema volta e o rádio se reseta;
    -não é possível a troca de usuário e senha do equipamento, pois uma mensagem de erro aparece logo a cima;

    Gostaria de saber se conseguiram resolver o problema ou ao menos estancar.
  • saldanhabrsaldanhabr 45 Pontos

    BOM DIA GALERA.

    ONTEM AS 22:28 FORAM 76 ANTENAS RESETADAS....

    HJ OS TELEFONES NAO PARAM DE TOCAR...

    FUI AGORA NO PRIMEIRO CLIENTE. TUDO NORMAL , POREM NAO CONECTA PPPOE....

    ALGUEM TBM ESTA RECEBENDO ESSE ATAQUE?

    QUAL VERSAO PARA RETIRAR ESSES VIRUS?

    1
  • kionagenkionagen 2 Pontos
    Bom dia.
    Não acredito q seja um novo vírus na rede infectando os rádios, como disse alguns colegas acima, são restos de rádios infectadas desse último ataque em massa q aconteceu.
    Nós tbm sofremos no provedor onde trabalho, temos 1200 clientes e mais da metade foi infectado, passamos cliente por cliente resetando, atualizando e configurando novamente os equipamentos. Após isso, não conseguimos limpar 100% da nossa rede, e a cada pouco aparecia um que outro rádio infectado dando problema. 
    Analisamos e pegamos os IPs dos quais os vírus trafegavam e usavam pra infectar a rede, e bloqueamos em nosso firewall, praticamente eliminamos o problema. Hj mesmo quando verifico, aparecem mais de 30 equipamentos infectados tentando se comunicar, e são bloqueados pelo nosso firewall, equipamento continua funcionando normal, sem resetar, nem perder nenhuma configuração, rastreio o cliente, e mando meus técnicos até o cliente para atualizar o equipamento pra última versão.
    Desde a versão 5.6.8, nenhum caso de equipamento resetado, e a partir dali, sempre atualizo pras últimas versões através do AirControl...
    Abraços
    saldanhabr
  • erisvaldocostaerisvaldocosta 1 Point
    andersoncintra e em outro notebook acessou normalmente, porem nao faz upgrade nem downgrade, ao inves de abrir progresso de atualização abre tela main. segue imagens. vou continuar nos testes.
    doebber disse:


    doebber disse:

    DESABILITE A PORTA SSH NA ABA SERVICE

    doebber disse:



    tela

Entre ou Registre-se para fazer um comentário.