Vírus em Rádios Ubiquiti – Como Remover ? IMPORTANTE

Postado em 17/maio/2016 em Ubiquiti

O que é preciso saber sobre o Vírus em Rádios Ubiquiti

Nos últimos dias, estão ocorrendo diversas atividades maliciosas em rádios UBIQUITI AirMAX. Na maioria dos casos, os dispositivos são “resetados” aos padrões de fábrica. Em outros casos, os dispositivos ficam operacionais, mas inacessíveis. A ação é um Expoit malicioso ou Malware.
Se você possui um Rádio com versão anteriores ás versões da tabela abaixo, então é altamente recomendado fazer o procedimento de remoção e de atualização para a versão mais recente de firmware.

Vírus em Rádios Ubiquiti

Vírus em Rádio Ubiquiti

As correções de impedimento da ação deste script malicioso, já fora corrigida meses atrás, no entanto, algumas pessoas que utilizam versões mais antigas, estão sofrendo este risco.

A ação maliciosa roda um script dentro dos rádios airMAX, executando a rotina que fará todo o processo indevido. Este Malware é chamado de “mf”, ou seja, mother fucker.
Se o Rádio está conectado a internet, seja por um IP público ou IP privado, porém, através de um NAT, o problema também ocorrerá. Portanto, se o rádio tiver qualquer contato direto com a internet é importante rodar um programa de correção e se possível, também a atualização.

Como Garantir a Segurança contra o Vírus em Rádios Ubiquiti

Ubiquiti se empenha em ameaças deste nível e criou alguns procedimentos para corrigir os problemas.

1- Via aplicativo Android:

Para diagnosticar e Corrigir o Problema, faça o download aqui e comece a corrigir e proteger a sua rede. O aplicativo pode corrigir pos problemas em massa, no entanto é preciso entender a topologia de cada rede, onde possa ser acessado via aplicativo.

2- Via Script CLI

Para Verificar se a ação maliciosa foi implantada dentro do rádio Ubiquiti, basta rodar o comando abaixo, chamando o arquivo de correção(clique aqui para baixar o arquivo) da Ubiquiti Networks

C:\Users\ENTELCO\Downloads>java -jar CureMalware-0.8.jar
Skynet/PimPamPum/ExploitIM malware removal tool v0.8 for Ubiquiti devices

Copyright 2006-2016, Ubiquiti Networks, Inc. <support@ubnt.com>

This program is proprietary software; you can not redistribute it and/or modify
it without signed agreement with Ubiquiti Networks, Inc.

Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.20>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 192.168.1.20
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 3
Enter ssh port [22]:
Enter user name [ubnt]: ubnt
Reuse password <y|n>[y]: y
Processing ubnt@192.168.1.20:22 …
Password for ubnt@192.168.1.20:
Checking…
CRITICAL: Infected by exploitim
WARNING: User Script(s) is(are) installed:
/etc/persistent/rc.poststart
Review/remove manually!
Done.
Cleaning…
Done.
IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
Preparing Upgrade…
Done.
Uploading firmware: /firmwares/XM.bin …
Sending… [%100]
Done.
Upgrading…
Current ver: 329220
New version: 329221
No need to fix.
Writing ‘u-boot ‘ to /dev/mtd0(u-boot ) … [%100]
Writing ‘kernel ‘ to /dev/mtd2(kernel ) … [%100]
Writing ‘rootfs ‘ to /dev/mtd3(rootfs ) … [%100]
Done.

Observação: Fique atento a versão do Firmware, pois se você utilizar o modo “Compliance Test” em seu rádio, ela poderá não funcionar nos canais de aplicação da célula após a próxima mudança em seu AP (Tx). Em caso de dúvidas sobre a versão, você poderá apenas fazer a correção com o script e não atualizar neste momento, fazendo a atualização posteriormente.

3- Via CLI Manualmente

Instruções para remoção do Malware Manualmente via SSH.

1 – Acesso:
Acesse o rádio via ssh

2 – localize os arquivos .mf e rc.poststart  (se estiver contamidado):
ls -la

3 – Vá até a pasta local
cd /etc/persistent

4 – Para remover o malware, execute um comando por vez:
rm mf.tar
rm -rf .mf
rm -r mcuser
rm rc.poststart

5 – Remova os arquivos de senha mcuser, execute um comando por vez:
cat /etc/passwd | grep -v mcuser >> /etc/passwd2
cat /etc/passwd2 >> /etc/passwd
rm /etc/passwd2

6 – Agora Salve as alterações efetuadas
cfgmtd -w -p /etc/

7 – Para parar os processo, execute os seguintes comandos

killall -9 search
killall -9 mother
killall -9 sleep

8 – Agora será necessário reiniciar o rádio:
reboot

9- Acesso o Rádio pela interface Web e altere o usuário e senha, assim como as portas http e ssh. Se possível, faça o bloqueio destas portas para acessos via internet, isto aumentará a chance de seu rádio não sofrer outros tipos de ataques.

É importante lembrar que o acesso (administrativo) aos equipamentos não devem ficar expostos a internet, ou seja, ter livre acesso a eles via IP, pois esta porta de entrada, aumenta ainda mais o risco de problemas ao rádio do cliente.

Um dos acessos ao script malicioso é proveniente do site http://openwrt.org, (veja o IP que responde a este domínio), que também poderá ser bloqueado, reduzindo as margens de risco sobre o Malware.

Cursos sobre Ubiquiti e airOS

A ENTELCO TELECOM oferece os curso Ubiquiti airMAX oficial UBWA, com certificação técnica. Somos em 5 engenheiros na ENTELCO e todos com um grande potencial para ensiná-los a configurar estes equipamentos, e todos são especializados em Engenharia de Telecomunicações e em arquiteturas TCP/IP.

Os novos cursos Ubiquiti, promovem o conteúdo avançado em Telecomunicações

Faça já a sua inscrição:

UBWA Ubiquiti Broadband Wireless Admin

Garanta já a sua vaga.

Os cursos oferecem aos alunos uma capacidade elevadíssima de conhecimento em telecomunicações para aplicações dos equipamentos Ubiquiti. A proposta é certificar 300 novos técnicos até o final de 2016.

Os cursos são oferecidos em todo o Brasil, faça parte desta lista de certificados.

Abraços

Rogério Barion
ENTELCO TELECOM