Bem-vindo à Comunidade UBNT

PROBLEMA com Cert.BR

COMO RESOLVER ESSA MENSSAGEM , depois que comecei a usar o UNMS recebo toda semana .
ai no final desse conteúdo vem um monte de Ip de meus clientes , ja verifiquei eles não estão com vírus, 


Caro responsável,

Chegou ao nosso conhecimento que os IPs presentes no log abaixo são de
dispositivos de rede Ubiquiti Networks sob sua responsabilidade que
possuem o serviço Device Discovery (10001/udp) habilitado.

Em decorrência, os seguintes problemas podem estar ocorrendo em sua
rede:

 * Este serviço pode ser abusado para fazer parte de ataques
   distribuídos de negação de serviço, consumindo recursos da sua rede
   e impactando terceiros;

 * As respostas providas por este serviço podem revelar informações
   sensíveis de sua rede;

 * Em alguns casos há indícios de comprometimento do dispositivo,
   evidenciados por uma resposta contendo o termo "HACKED-ROUTER" no
   campo payload dos logs apresentados abaixo.

Gostaríamos de solicitar que:

 * esse serviço esteja acessível apenas para a sua própria rede ou que
   desative o serviço caso ele não seja utilizado;

* verifique esses dispositivos em busca de sinais da invasão; 

* se confirmado o comprometimento, restaure as configurações de
  fábrica, atualize o sistema para a última versão e, finalmente,
  restaure um backup das configurações, sempre utilizando uma senha
  forte.

Se você não for a pessoa correta para corrigir o problema destes
dispositivos, por favor repasse essa mensagem para alguém de sua
organização que possa fazê-lo.

O indicador no campo 'Resultados do Teste' indica o tipo de problema
testado e significa:

* status/pacotes/bytes, onde status é "open", e pacotes/bytes
  indicam o tamanho da resposta recebida, em pacotes/bytes.

* Payload: parte do payload da resposta recebida, em alguns casos
  indicando um equipamento comprometido. 

Comentários

  • UI-JallesUI-Jalles 219 Pontos
    Olá @treta22br

    O amigo está utilizando uma instância do UNMS na nuvem? A conexão entre servidor e device é segura, utilizando o protocolo HTTPS. Para fins de segurança, qualquer porta diferente da 443 (HTTPS por default) deve ser bloqueada caso não esteja sendo utilizada. 
  • fdnetfdnet 0 Pontos
    Olá  Jalles ,voltei com o projeto de implementar o UNMS novamente aqui em minha rede, pois hoje ela é 99% Ubnt . 
    Instalei o UNMS num servidor ubuntu,  e começou novamente a vir essa mensagem do Cert.br  como devo proceder ?:

    Caro responsável,

    Chegou ao nosso conhecimento que os IPs presentes no log abaixo são de
    dispositivos de rede Ubiquiti Networks sob sua responsabilidade que
    possuem o serviço Device Discovery (10001/udp) habilitado.

    Em decorrência, os seguintes problemas podem estar ocorrendo em sua
    rede:

     * Este serviço pode ser abusado para fazer parte de ataques
       distribuídos de negação de serviço, consumindo recursos da sua rede
       e impactando terceiros;

     * As respostas providas por este serviço podem revelar informações
       sensíveis de sua rede;

     * Em alguns casos há indícios de comprometimento do dispositivo,
       evidenciados por uma resposta contendo o termo "HACKED-ROUTER" no
       campo payload dos logs apresentados abaixo.

    Gostaríamos de solicitar que:

     * esse serviço esteja acessível apenas para a sua própria rede ou que
       desative o serviço caso ele não seja utilizado;

    * verifique esses dispositivos em busca de sinais da invasão; 

    * se confirmado o comprometimento, restaure as configurações de
      fábrica, atualize o sistema para a última versão e, finalmente,
      restaure um backup das configurações, sempre utilizando uma senha
      forte.

    Se você não for a pessoa correta para corrigir o problema destes
    dispositivos, por favor repasse essa mensagem para alguém de sua
    organização que possa fazê-lo.

    O indicador no campo 'Resultados do Teste' indica o tipo de problema
    testado e significa:

    * status/pacotes/bytes, onde status é "open", e pacotes/bytes
      indicam o tamanho da resposta recebida, em pacotes/bytes.

    * Payload: parte do payload da resposta recebida, em alguns casos
      indicando um equipamento comprometido. 

    ====================================================================================
    Endereco IP      | ASN    | Status | Data do Teste (UTC)  | Resultado  | Payload
    187.121.164.16   | 262704 | OPEN   | 2020-07-03T11:38:27Z | open/1/136 | ".............PATRICIA ROSSI...NS5...FDNET.."
    187.121.165.174  | 262704 | OPEN   | 2020-07-03T11:38:27Z | open/1/147 | ".e......'....Vander Peres Bissoli...BS2...M"
    187.121.166.6    | 262704 | OPEN   | 2020-07-03T11:38:27Z | open/1/146 | "`F......''...Jorge Chaguri Filho...BS2...MR"
    187.121.167.67   | 262704 | OPEN   | 2020-07-03T11:38:28Z | open/1/155 | "FRANCISCO CARLOS NASTARO...AG5-HP...NASTARO"
    187.121.171.201  | 262704 | OPEN   | 2020-07-03T11:38:28Z | open/1/150 | "Carlos Alberto de Lima...LB5...SANTANAA2..."
    187.121.174.42   | 262704 | OPEN   | 2020-07-03T11:38:29Z | open/1/127 | ".............UBNT...BS2...ALVARO......"XS2."
    189.45.227.180   | 262704 | OPEN   | 2020-07-03T11:40:26Z | open/1/183 | "Corasil Empreendimentos Imobiliarios E Part"
    189.45.227.64    | 262704 | OPEN   | 2020-07-03T11:40:27Z | open/1/171 | "d............Jose Francisco de Toledo...AG5"
    189.45.228.186   | 262704 | OPEN   | 2020-07-03T11:40:27Z | open/1/151 | "Helena Vidal da Silva...AG5-HP...BINOSA2..."
    189.45.230.18    | 262704 | OPEN   | 2020-07-03T11:40:27Z | open/1/143 | "........'....Francilene Motta...BS2...MROND"
    189.45.237.170   | 262704 | OPEN   | 2020-07-03T11:40:29Z | open/1/155 | "Ivone da Silva Mariano...AG5-HP...MARIANOA2"
    189.45.237.22    | 262704 | OPEN   | 2020-07-03T11:40:29Z | open/1/158 | "Maria Aparecida rodrigues...AG5-HP...VICTOR"
    189.45.237.249   | 262704 | OPEN   | 2020-07-03T11:40:29Z | open/1/172 | "INTER TELECON COMERCIAL E LOCACAO LTDA...AG"
    ====================================================================================

    Mais detalhes sobre esse problema, como corrigi-lo e quem é o CERT.br
    estão listados abaixo.

    Cordialmente,
    --
  • UI-JallesUI-Jalles 219 Pontos
    Boa tarde, 

    Tentem seguir as dicas de boas práticas de segurança de redes descritas neste artigo.

    Abraço. 
Entre ou Registre-se para fazer um comentário.