Рейтинг

Оцінка: 4.83 Голосів: 6 Коментарі: 6

За останній тиждень в компанію Ubiquiti звернулося кілька власників пристроїв airMAX M, які повідомили про вихід з ладу пристроїв під управлінням операційної системи airOS.

Проблеми можна поділити на дві основні групи:

1. На пристроях відбувається скидання всіх параметрів до заводських налаштувань;
2. Пристрої працюють, при цьому відсутня можливість отримати доступ до панелі управління.

Причина цих проблем - вплив шкідливого програмного забезпечення, яке використовує уразливість в коді програмного забезпечення, що дозволяє отримати доступ до пристрою без авторизації через протокол HTTP (порт 80) і HTTPS (порт 443).

Уразливості піддаються всі пристрої Ubiquiti зі старим програмним забезпеченням airOS і мають прямий доступ до мережі інтернет на зовнішньому інтерфейсі. Крім того, потенційну загрозу також можуть нести зловмисники, що знаходяться в локальній мережі провайдера, наприклад, в мережах WISP.

Як перевірити пристрій на предмет уразливості?

Для того, щоб перевірити ваш пристрій на предмет уразливості, звірте версію встановленого програмного забезпечення з таблицею. Нижче в таблиці для кожного сімейства вказана версія ПО, в якій закрита уразливість.

airMAX M (XM / XW / TI) v.5.6.2 + airMAX M (XM / TI) v. 5.5.11 airMAX M (XM) v. 5.5.10u2 airMAX ac v.7.1.3 + TOUGHSwitch v.1.3.2 airGateway v.1.1.5 + airFiber (AF24 / AF24HD / AF5) v.2.2.1 + airFiber (AF5x) v. 3.0.2.1+ airFiber X v.3.0.2.1 +

.

Рис.1. Перевірка пристрою на предмет уразливості

.

Утиліта для діагностики та виправлення проблем під Android

Ubiquiti серйозно поставилася до цієї проблеми. Для платформи Android випущено спеціальний додаток « UBNT Virus Removal », Яке дозволяє провести сканування вашої мережі і, при необхідності, виконати видалення вірусу і оновлення прошивки пристроїв.

Рис.2. Утиліта для діагностики та виправлення проблем під Android

.

Утиліта протестована на платформі airMAX M. Підтримуються також airMAX ac, airGatewat, airFiber і TOUGHSwitsh, хоча для цих платформ тестування не проводилося. У разі виникнення проблем, сміливо звертайтеся в службу підтримки Ubiquiti.

Важливе зауваження: для пристроїв airMAX M проводиться видалення шкідливого коду і модернізація прошивки до версії airOS v.5.6.5, повністю відключає використання скриптів. Якщо ваш пристрій недоступно, буде потрібно відновлення прошивки за допомогою TFTP (інструкція трохи нижче).

Утиліта для діагностики та виправлення проблем під Linux, Windows і OSX

На поточний момент репозитарій на GitHub є неактуальним і не оновлюється, оновлюється тільки APK-додаток. Зроблено це навмисно, для того, щоб не розкривати алгоритм роботи утиліти, тому що він може бути використаний авторами вірусу для удосконалення шкідливого коду.

Для використання на платформах Linux, Windows і OSX, необхідно завантажити файл CureMalware-0.8.jar . Для роботи утиліти в системі повинен бути встановлений Java .

Утиліта робить пошук шкідливого коду в двох варіаціях, які зустрічали програмісти Ubiquiti. При оновленні airMAX M до версії v.5.6.5 видаляються всі скрипти «rc.xxxxxxxxx». Надалі використання скриптів стає неможливим, майте це на увазі.

Звертаємо Вашу увагу! Автоматичне оновлення ПЗ airOS доступно тільки для пристроїв airMAX M, для інших платформ є тільки видалення шкідливого коду.

Як використовувати утиліту CureMalware?

Для запуску скористайтеся командою:

java -jar CureMalware-0.8.jar.

наприклад:

C: \ Users \ ubnt \ Downloads> java -jar CureMalware-0.7.jar. .

Після запуску команди ви побачите наступний текст:

Possible formats for IP (s): IP <192.168.1.1> IP list <192.168.1.1, 192.168.1.2> IP range <192.168.1.1-192.168.1.254> Enter IP (s):.

Система повідомляє, що необхідно ввести IP-адресу пристрою, список через кому або діапазон IP-адрес через тире згідно із зазначеним формату.

Вводимо адресу нашого пристрою:

Enter IP (s): 192.168.1.31.

Далі система пропонує нам такі дії:

Possible actions: Check [1] Check and Cure [2] Check, Cure and Update [3] Enter action <1 | 2 | 3>: 1 - тільки перевірка; 2 - перевірка і очищення; 3 - перевірка, очищення і оновлення. .

Вибираємо найбільш підходящий варіант:

Enter action <1 | 2 | 3>: 3.

Далі система попросить нас вказати порт SSH:

Enter ssh port [22]:.

За замовчуванням, використовується порт 22.

Далі система просить ввести логін, по дефолту це «ubnt»:

Enter user name [ubnt]: ubnt.

Наступний параметр можна вказати «y» (Yes), в разі, якщо на ваших пристроях всюди однаковий пароль:

Reuse password <y | n> [y]: y.

Це дозволить уникнути необхідності повторно вводити той же пароль. Якщо паролі скрізь різні - вкажіть «n» (No).

Система починає сканування:

Processing [email protected]: 22 ....

Для знайденого пристрою з'явиться запит пароля:

Password for [email protected]:.

Після введення пароля система запустить перевірку прошивки, відобразиться відповідний статус «перевірка ...»:

Checking ....

Далі відобразиться результат перевірки, приблизно наступного вигляду:

CRITICAL: Infected by exploitim WARNING: User Script (s) is (are) installed: /etc/persistent/rc.poststart.

Система повідомляє про знайдений експлоїт із зазначенням його розташування і назви.

Подальші дії виконуються в залежності від раніше встановлених параметрів (видалення, очищення):

Review / remove manually! Done. Cleaning ... Done. .

Система порекомендує змінити пароль, а також запустити процес оновлення:

IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE! IT IS STRONGLY RECOMMENDED TO RUN CURED + UPDATE PROCEDURE! Preparing Upgrade ... Done. Uploading firmware: /firmwares/XM.bin ... Sending ... [% 100] Done. Upgrading ... Current ver: 329220 New version: 329221 No need to fix. Writing 'u-boot' to / dev / mtd0 (u-boot) ... [% 100] Writing 'kernel' to / dev / mtd2 (kernel) ... [% 100] Writing 'rootfs' to / dev / mtd3 (rootfs) ... [% 100] Done. .

Ручне видалення експлойтів

Бувають випадки, коли необхідно видалити вірус / експлоїт в ручному режимі. Зробити це можна за допомогою командного рядка (через SSH). Один з найпопулярніших клієнтів SSH - PuTTY .

Рис.3. Видалення вірусу в ручному режимі за допомогою командного рядка одного з найпопулярніших клієнтів SSH - PuTTY

.

Переконайтеся, що у вас включений сервер SSH: розділ Deviсe> Management Connection Settings> SSH Server.

Попередньо перевірте правильність ключів і користувача:

grep -E "users | sshd.auth.key" /tmp/system.cfg.

Рис.4. Перевірка правильності ключів і користувача

.

Настійно рекомендується видалення всіх призначених для користувача скриптів, якщо ви їх не використовуєте взагалі:

rm -fr /etc/persistent/rc.* / etc / persistent / profile.

Після цього виконайте команду:

cfgmtd -w -p / etc /; reboot -f.

Пристрій перезавантажиться, після чого рекомендується видалити ключ аутентифікації (з перезавантаженням):

cfgmtd -w; reboot -f.

Панель управління airOS недоступна, що робити? Відновлюємо прошивку через TFTP

Бувають випадки, коли при пошкодженні прошивки неможливо виконати скидання пристрою до заводських налаштувань і зайти в панель управління.

Якщо пристрій не завантажується, або є проблеми з доступом - слід вдатися до процедури відновлення прошивки. Насамперед викачуємо клієнт tfpt 2 (Або tftpd32, що зручніше).

Встановіть на комп'ютері статичний IP-адресу 192.168.1.254 і маску 255.255.255.0. Вимкніть, потім затисніть кнопку Reset і, не відпускаючи, підключіть мережний кабель до пристрою.

Кнопку Reset потрібно утримувати доти, поки індикатори на пристрої не почнуть мигати, зазвичай десь 8-15 сек.

Рис.5. оновлення прошивки

.

Запустіть командний рядок і переконайтеся, що адреса 192.168.1.20 пінгуєтся. За допомогою утиліти ftpd2 (або tftpd32) завантажте файл прошивки на IP 192.168.1.20. Процедура оновлення займає деякий час, дочекайтеся закінчення і ні в якому разі не відключайте живлення.

Якщо використовується інша операційна система, замість GUI можна вдатися до використання командного рядка. Команда буде виглядати наступним чином:

tftp -i 192.168.1.20 put названіе_файла_прошівкі.bin.

Підвищення безпеки за допомогою файрволла

Бувають випадки, коли без скриптів не обійтися. В цьому випадку потрібно утриматися від поновлення на v.5.6.5 і залишатися на v.5.6.4 до випуску нової версії ПЗ.

Підвищити безпеку ваших пристроїв можна, обмеживши доступ до панелі управління з різних IP-адрес і підмереж.

Для пристроїв, що мають публічний (зовнішній) IP, в розділі Network> Remote Management (Мережа> Віддалене управління) слід обмежувати доступ ззовні.

Для захисту всередині локальної мережі, слід використовувати правила файрволла. Ця функція є в режимі маршрутизатора (Router).

Нижче наведено приклад конфігурації Firewall, де IP роутера 192.168.1.31.

192.168.0.51 - IP-адреса комп'ютера, з якого дозволений доступ до панелі управління.

Рис.6. Підвищення безпеки за допомогою файрволла

.

Для кожного з трьох протоколів додається по 2 правила. HTTP використовує 80-й порт, HTTPS 443-й, а SSH - 22-й порт.

Правило «Accept» дозволяє доступ з IP 192.168.0.51. Правило «Drop» відкидає пакети, які приходять з IP, відмінного від 192.168.0.51 Знак оклику перед IP позначає, що правило спрацьовує для всіх адрес, які не збігаються з тим, що зазначений перед знаком оклику. Замість цього також можна використовувати мережі, наприклад 192.168.1.0/24 і т.д., якщо ви хочете заборонити доступ з певної підмережі.

Якщо Ви знайшли помилку в тексті, то виділіть її мишкою і натисніть Ctrl + Enter або Натисніть тут .