Ubiquiti Netwoks – Actualización de seguridad contra ataque de virus

Durante la última semana se ha recibido un número inusual de reportes sobre equipos de Ubiquiti comprometidos por un virus de tipo gusano. Sólo son afectados equipos que tengan un firmware desactualizado.

¿En qué consiste el ataque?

El virus lo primero que hace es bajar un software que necesita del sitio downloads.openwrt.com. Una vez hecho esto, escanea las IP similares a la IP del equipo afectado o su red interna y, al mismo tiempo, escanea IPs al azar para infectar equipos online o en la red interna que estén en otras subredes accesibles al equipo infectado. De esta forma, ha conseguido expandirse rápidamente a una gran cantidad de dispositivos.

El virus intenta encontrar así el acceso por https y aprovechar una vulnerabilidad de SSL. Se han visto infectados equipos con puertos cambiados y CPE que no se permite el acceso a 22, 80, 443 desde la WAN.

¿Cómo se instala?

El virus se instala vía LAN o vía WAN. Una vez logrado se comienza la descarga de archivos necesarios desde Openwrt.

La actividad principal del virus es replicarse de una manera agresiva  durante las primeras 18 horas de la infección. Una vez pasadas, empieza a ejecutar un comando de reseteo a fábrica en todos los equipos y a los 7 días cambia el SSID por “motherfucker” y cuelga el equipo,  dejándolo inservible hasta  que se reinicia. Una vez encendido, el SSID será motherfucker y el virus seguirá activo.

¿Qué recomendamos?

Desde GlobalPro recomendamos seguir los siguientes pasos para asegurar que sus equipos están protegidos:

1. Cambiar las credenciales por defecto ubnt/ubnt.

2. Bloquear todo acceso web y SSH desde el exterior de la red:

 /ip firewall filter add action=drop chain=forward connection-state=new dst-port=22,80,443 in-interface= “wan” protocol=tcp

 Recomendable:

/ip firewall filter add action=drop chain=forward connection-state=new dst-port=21,22,23,80,443,8080 in-interface=”wan” protocol=tcp

/ip firewall filter add action=drop chain=forward connection-state=new dst-port=53 in-interface=”wan” protocol=udp

100% restrictivo:

/ip firewall filter add action=drop chain=forward connection-state=new in-interface=”wan”

Será necesario añadir excepciones para aquéllos servicios de empresa y particulares que sí deban estar accesibles desde Internet.

3. Actualizar todos los dispositivos ubnt a la versión 5.6.2 (recomendable) o posterior.

Para más información, os remitimos el hilo del foro de Ubnt en relación a este tema:

http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1562940#U156294

¿Existe una solución definitiva?

La solución definitiva es la nueva versión 5.6.5 que solventa y elimina el Malware. Puede descargarse desde este enlace:

https://www.ubnt.com/download/airmax-m/powerbridge-m10

Los equipos que corren los siguientes firmwares NO se encuentran afectados:

Ubiquiti_virus

Global Pro, la división de valor del mayorista Infortisa

 

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.