Bem-vindo à Comunidade UBNT

Correção do Novo vírus!

Houveram vários relatos de dispositivos AirmaxM sendo infectados ao longo da última semana. A partir das amostras que temos visto, há 2-3 variações diferentes. Temos confirmados, pelo menos, duas destas variações. O vírus explora uma vulnerabilidade conhecida que foi relatada e corrigida no ano passado.

Este exploit é um HTTP / HTTPS que não requer autenticação. Basta ter um rádio com uma versão antiga e ter a sua interface http / https exposta à Internet para que a infecção ocorra.

Dispositivos que rodam as seguintes versões de firmware estão OK, contudo recomendamos a atualização para 5.6.5, lembrando que os scripts foram desabilitados nesta versão.

airMAX M

5.5.11 XM/TI

5.5.10u2 XM

5.6.2+ XM/XW/TI

AirMAX AC

7.1.3+

ToughSwitch

1.3.2

airGateway

1.1.5+

airFiber 

2.2.1+ AF24/AF24HD

3.0.2.1+ AF5x 


Ferramenta para remoção

 

CureMalware-0.7.jar 

 

Esta ferramenta requer Java. Ele irá procurar e remover ambas as variantes que temos visto, removê-los (e sua bagagem). Ele tem a opção de atualizar o firmware para 5.6.5.

Uso:

java -jar CureMalware-0.7.jar

 

Exemplo:

C:\Users\ubnt\Downloads>java -jar CureMalware-0.7.jar
Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices

Copyright 2006-2016, Ubiquiti Networks, Inc. <support@ubnt.com>

This program is proprietary software; you can not redistribute it and/or modify
it without signed agreement with Ubiquiti Networks, Inc.


Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 192.168.1.31
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 3
Enter ssh port [22]:
Enter user name [ubnt]: ubnt
Reuse password <y|n>[y]: y
Processing ubnt@192.168.1.31:22 ...
Password for ubnt@192.168.1.31:
Checking...
CRITICAL: Infected by exploitim
WARNING: User Script(s) is(are) installed:
/etc/persistent/rc.poststart
Review/remove manually!
Done.
Cleaning...
Done.
IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
Preparing Upgrade...
Done.
Uploading firmware: /firmwares/XM.bin ...
Sending... [%100]
Done.
Upgrading...
Current ver: 329220
New version: 329221
No need to fix.
Writing 'u-boot ' to /dev/mtd0(u-boot ) ... [%100]
Writing 'kernel ' to /dev/mtd2(kernel ) ... [%100]
Writing 'rootfs ' to /dev/mtd3(rootfs ) ... [%100]
Done.

 

Firmware:

Estamos lançando a release  5.6.5  com as seguintes alterações.


- Novo: o uso de scripts personalizados foi desabilitado
- Novo: syslog habilitado por padrão
- Fix: As atualizações de segurança (scripts de malware verificar e remoção)

 

http://www.ubnt.com/downloads/XN-fw-internal/v5.6.5/XW.v5.6.5.29033.160515.2108.bin
http://www.ubnt.com/downloads/XN-fw-internal/v5.6.5/XM.v5.6.5.29033.160515.2119.bin
http://www.ubnt.com/downloads/XN-fw-internal/v5.6.5/TI.v5.6.5.29033.160515.2058.bin

 

Rotulado:
pttR4V3RZUDSON_SILVAmichellmateusj11
«1

Comentários

  • michellmichell 3 Pontos
    editado maio 2016
    Obrigado UBNT,


  • netuainetuai 8 Pontos
    estou tentando rodar esta ferramente em meu pc, mas nao consigo, simplesmente nao abre, tenho outras aplicações java e estao funcionando, o que pode estar ocorrendo?
  • ueder84ueder84 5 Pontos
    Super obrigado chadi
  • o aplicativo nao abre
  • ueder84ueder84 5 Pontos
    Já fiz atualização do meu java e testei no windows 10 e windows 7 e também não consegui abrir.
  • handrigohandrigo 16 Pontos
    thanks =D>
  • amoisamois 1 Point
    O negócio é atualizar os rádios, obrigado pela informação.
  • rogeriodjrogeriodj 11 Pontos
    Essa ferramenta não presta!
    Se atualiza um ip e o mesmo não volta a ferramenta trava!
    Quando acha um viruz, pede pra remover manualmente e trava tbm!
  • DrSmithDrSmith 4 Pontos
    A ferramenta funciona mas deve ser utilizada com acesso local e não remoto, senão vai perder o acesso.   se quiser fazer na mão a remoção segue o procedimento:

    INSTRUÇÃO PARA REMOVER MALWARE MOTHER FUCK  (MF) manualmente
    ( copie e cole e execute ,do passo dois pra frente)

    Passo #1 - acesso:

    LOGAR VIA SSH NA ANTENA

    #2 - veja se existe os arquivos .mf e rc.poststart ?(com virus se existir ):
    ls -la 

    #3 - acesso ao diretorio

    cd /etc/persistent

    4#-  remover o virus - cada comando de uma vez:

    rm mf.tar
    rm -rf .mf
    rm -r mcuser
    rm rc.poststart

    5#-remover o mcuser do passwd - arquivo de senhas , cada comando de uma vez:

    cat /etc/passwd | grep -v mcuser >> /etc/passwd2
    cat /etc/passwd2 >> /etc/passwd
    rm /etc/passwd2

    5#- salvar as alterações
    cfgmtd -w -p /etc/

    6#-matar os processos

    killall -9 search
    killall -9 mother
    killall -9 sleep

    7# reinicar a antena:

    reboot


    # entre na antena via web agora e troque o usuario, senha e portas http e ssh. bloquei na rede acesso externos para essas portas!

    att


  • DrSmithDrSmith 4 Pontos
    * 7# reiniciar a antena:

    reboot
  • DrSmithDrSmith 4 Pontos
    outra variação, acabei de encontrar :  use 
    5#-remover o mother do passwd - arquivo de senhas , cada comando de uma vez:

    cat /etc/passwd | grep -v mother >> /etc/passwd2
    cat /etc/passwd2 >> /etc/passwd
    rm /etc/passwd2
  • Parabéns pelo empenho que vocês sempre tem em apresentar as soluções com a maior brevidade possível.
  • rogeriodjrogeriodj 11 Pontos
    Ja não gostava da ubnt, agora foi o fim da picada, pois nem eles conseguem fazer uma ferramenta que preste! Imagina um firmware.
    O povo mete o pau na mikrotik, mais pelo menos esses tipos de problemas não temos!
  • jrflajrfla 1 Point
    Boa tarde, alguem ai sabe se tem como atualizar o airgrid via ssh?
  • alguem conseguiu abrir isso ai? to com todo munda tirando os virus na unha ta osso viu, chadi da um help ai 
  • Utilizei o aplicativo da UBNT, mas não está tão proveitoso quanto se esperava, usei agora para teste o aplicativo para android, ele remove o vírus, mas qual o usuário e senha que o equipamento fica depois do reboot?
  • frednksfrednks 95 Pontos
    editado maio 2016
    @UBNT-Chadi o que esse virus faz? ele ta travando equipamento?
    dispositivos quem tem ip invalido pode sofrer o ataque?

    qual o comando ssh pra descobri se tem o virus, e como faz pra remover manualmente pelo ssh?

    Tem como vc confirmar se esse procedimento que o DrSmith citou esta correto?
  • DrSmithDrSmith 4 Pontos
    Pra saber se o equipamento (CPE/ANTENA/Airgrid/ como quiser chamar), esta com o malware mother fucker (mf)  logue no equipamento  via ssh e acesse o diretório /etc/persistente (cd /etc/persistent/) e liste os arquivos (ls -la), se tiver o malware ira ver uma   ".mf",  ai é só realizar o procedimento de remoção que volta tudo ao normal.


  • pttptt 505 Pontos
    jrfla disse:

    Boa tarde, alguem ai sabe se tem como atualizar o airgrid via ssh?



    https://help.ubnt.com/hc/en-us/articles/204959804



  • cleversonseixascleversonseixas 2 Pontos
    editado maio 2016
    Para eu saber qual equipamento esta infectado criei uma regra no meu firewall mandando colocar em um address list os ips de meus clientes que tentarem acessar esse ip 78.24.191.177 que é o site http://downloads.openwrt.org/ que o virus aponta, isso ajudou a filtrar alguns equipamentos infectados. E depois bloqueei esse ip para nao acessarem mais.
  • HD_NETHD_NET 3 Pontos
    UBNT-Chadi disse:

    se apenas atualizar as antenas com o novo firme o virus sai ?

  • R4V3RR4V3R 8455 Pontos
    @cleversonseixas, é uma boa iniciativa, mas se me permite um conselho, eu bloquearia o acesso administrativo à TODOS os endereços IP, a não ser os seus próprios, internos ou mesmo válidos, OK? Parte-se do princípio de que você não irá gerenciar sua rede de fora dela, e isso, juntamente com a atualização dos rádios já é suficiente para te livrar desse tipo de problemas...
    cleversonseixas
  • HD_NETHD_NET 3 Pontos
    não consegi rodar o programa java  aqui.. já atualizei meu java.. clico e o programa não abre

  • IMF-RafaelIMF-Rafael 11 Pontos
    Boa tarde @UBNT-Chadi ,

    Gostaria de saber sobre o Firmware para atualizações dos AirGateway que rodam o AirOS tambem.

    Obrigado
  • fesalatafesalata 2917 Pontos
    @IMF-Rafael você teve AirGateway infectados? Com qual versão do firmware? 
  • HD_NETHD_NET 3 Pontos
    Pessoal, quem não conseguiu abrir tem que abrir pelo CMD..
    Um vídeo aqui do amigo que ajudou bastante:
  • cleversonseixascleversonseixas 2 Pontos
    editado maio 2016
    R4V3R disse:

    Obrigado pela dica, ja efetuei essas correções, mas como mencionei, devido a rede com equipamentos ubiquiti ser grande eu precisava uma maneira de achar os equipamentos de meus clientes que foram afetados, e com essa regra da pra filtrar quase todos os equipamentos.

  • Não sei se procede, mas peguei alguns casos que se a airgrid possui o virus, quando o cliente desliga o equipamento e na ligação dele o equipamento reseta, pegaram algum caso assim ?
  • IMF-RafaelIMF-Rafael 11 Pontos
    editado maio 2016
    fesalata disse:

    @IMF-Rafael você teve AirGateway infectados? Com qual versão do firmware? 




    Boa tarde,

    o Firmware do AirGateway é o 1.0.3, porem já realizei a atualização de todos atualmente para a versão 1.1.6 (mais recente)


    AirGtw103
  • R4V3RR4V3R 8455 Pontos

    Não sei se procede, mas peguei alguns casos que se a airgrid possui o virus, quando o cliente desliga o equipamento e na ligação dele o equipamento reseta, pegaram algum caso assim ?

    Sim, há relatos semelhantes.. em alguns casos o reset é feito apenas quando o equipamento é reiniciado...
    diegofernando
Entre ou Registre-se para fazer um comentário.