Durante la última semana se ha recibido un número inusual de reportes sobre equipos de Ubiquiti comprometidos por un virus de tipo gusano. Sólo son afectados equipos que tengan un firmware desactualizado.
¿En qué consiste el ataque?
El virus lo primero que hace es bajar un software que necesita del sitio downloads.openwrt.com. Una vez hecho esto, escanea las IP similares a la IP del equipo afectado o su red interna y, al mismo tiempo, escanea IPs al azar para infectar equipos online o en la red interna que estén en otras subredes accesibles al equipo infectado. De esta forma, ha conseguido expandirse rápidamente a una gran cantidad de dispositivos.
El virus intenta encontrar así el acceso por https y aprovechar una vulnerabilidad de SSL. Se han visto infectados equipos con puertos cambiados y CPE que no se permite el acceso a 22, 80, 443 desde la WAN.
¿Cómo se instala?
El virus se instala vía LAN o vía WAN. Una vez logrado se comienza la descarga de archivos necesarios desde Openwrt.
La actividad principal del virus es replicarse de una manera agresiva durante las primeras 18 horas de la infección. Una vez pasadas, empieza a ejecutar un comando de reseteo a fábrica en todos los equipos y a los 7 días cambia el SSID por “motherfucker” y cuelga el equipo, dejándolo inservible hasta que se reinicia. Una vez encendido, el SSID será motherfucker y el virus seguirá activo.
¿Qué recomendamos?
Desde GlobalPro recomendamos seguir los siguientes pasos para asegurar que sus equipos están protegidos:
1. Cambiar las credenciales por defecto ubnt/ubnt.
2. Bloquear todo acceso web y SSH desde el exterior de la red:
/ip firewall filter add action=drop chain=forward connection-state=new dst-port=22,80,443 in-interface= «wan» protocol=tcp
Recomendable:
/ip firewall filter add action=drop chain=forward connection-state=new dst-port=21,22,23,80,443,8080 in-interface=»wan» protocol=tcp
/ip firewall filter add action=drop chain=forward connection-state=new dst-port=53 in-interface=»wan» protocol=udp
100% restrictivo:
/ip firewall filter add action=drop chain=forward connection-state=new in-interface=»wan»
Será necesario añadir excepciones para aquéllos servicios de empresa y particulares que sí deban estar accesibles desde Internet.
3. Actualizar todos los dispositivos ubnt a la versión 5.6.2 (recomendable) o posterior.
Para más información, os remitimos el hilo del foro de Ubnt en relación a este tema:
http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1562940#U156294
¿Existe una solución definitiva?
La solución definitiva es la nueva versión 5.6.5 que solventa y elimina el Malware. Puede descargarse desde este enlace:
https://www.ubnt.com/download/airmax-m/powerbridge-m10
Los equipos que corren los siguientes firmwares NO se encuentran afectados:
