[Checkfx]

Ubiquiti qui est reconnu partout sur la planète pour leur produits orienté réseaux m'ont fait parvenir ceci ... et si ils avisent tout leurt clients dont moi de ceci ... c'est que cela est très sérieux comme menace !

En image ce qu'ils mont envoyé :







Il ne faut pas croire que seul Ubiquiti est affecté ! TOUTES les marques de routeurs sont visé par ce worm !

Donc a vos misse a jour de firmware si vous ne voulez pas vous ramasser avec un routeur qui fait effet de bibelot sur une étagère ! 

[kcdtv]

Il ne faut pas croire que seul Ubiquiti est affecté ! TOUTES les marques de routeurs sont visé par ce worm !

C'est absolument faux.   
L'attaque se base sur exploitation de brèches bien connues et  vieilles d'un an (ports ouverts sur extérieurs, compte avec privilèges administrateur hardcoded + injection de code via php), des brèches  (connues et vieilles, je me répète)  propres a AirOS et qui affectent uniquement et seulement  le matériel ubiquiti
Et la brèche affectent seulement des versions anciennes de air OS et ne toûche de fait que les firmwares qui n'ont pas été actualisés
Pour se débarrasser du malware

Code: [Sélectionner]

cd /etc/persistent/         
rm mf.tar                               
rm rc.poststart                     
rm -R .mf                               
gmtd -p /etc/persistent/ -w
reboot                                    Et bien sur ensuite il faut actualiser   (AirOS  5.6.5 est la dernière version en cours et la brêche y est colmatée) 

[Checkfx]

Ubiquiti me confirme que ce sont TOUT ces produit mon cher et ca date pas de un an ... ils m'ont aviser lundi a 20h00 .... Donc je pense que tu parle pas de la meme menace ! Et ce n'est pas que our airOS ... met tes lunettes et regarde l'image ... cela concerne tout leur produit ! 

Et de plus , la publication des nouveau firmware rapport a cette menace date du 16 Mai 2016 donc je crois vraiment que tu confond avec une autre de l'an passé ! 

[Sghost1405]

Bref pour couper court

HI Everyone,

 

There have been several reports of infected airOS M devices over the last week.  From the samples we have seen, there are 2-3 different variations.  We have confirmed at least two of these variations are using a known exploit that was reported and fixed last year.

 

This is an HTTP/HTTPS exploit that doesn't require authentication.  Simply having a radio on outdated firmware and having it's http/https interface exposed to the Internet is enough to get infected.  We are also recommending restricting all access to management interfaces via firewall filtering.

 

Devices running the following firmware are OK, but we recommend updating to 5.6.5 unless using legitimate rc. scripts.  Users using legitimate rc.scripts should run 5.6.4 for the time being. 

 

airMAX M (Including airRouter)
•5.5.11 XM/TI
•5.5.10u2 XM
•5.6.2+ XM/XW/TI

 AirMAX AC
•7.1.3+

airOS 802.11G
•4.0.4

 ToughSwitch
•1.3.2

 airGateway
•1.1.5+

 airFiber
•AF24/AF24HD 2.2.1+
•AF5x 3.0.2.1+
•AF5 2.2.1+

 

 

Removal tool.

 

CureMalware-0.8.jar  (Please download via browser.)

 

Updated CureMalware to v0.8.

 

0.7 -> 0.8

 

Update:
* force device reboot after cure action
* check and remove the same set of files if infected
* extend files to be checked for infection
* use the same user and password as current connection to be stored to config
* remove unused content before upgrade to have enough space for upgrade

 

This tool requires Java and will run on OSX/Linux and Windows.  It will search for and remove both variants we have seen, and their baggage.  It has the option to upgrade firmware to 5.6.5.  Beware that 5.6.5 removes _all_ rc.scripts and the ability to use them.  Please use check and cure only if you are using legitimate rc.scripts.

 

NOTE: This tool will only automatically updated airOS M devices.

Manual Remove

Code: [Sélectionner]

Make sure there is no unknown users and ssh keys in system.cfg:

grep -E "users|sshd.auth.key" /tmp/system.cfg
 
We recommend removing all custom scripts is you are not using them:
rm -fr /etc/persistent/rc.* /etc/persistent/profile
 
Then
cfgmtd -w -p /etc/; reboot -f
 
If you also are not using ssh key authentication then it is recommended to clean persistent:
cfgmtd -w; reboot -f


[kcdtv]

TOUTES les marques de routeurs sont visé par ce worm

Je répète que ce que tu dis n'a aucun sens et que c'est surtout  absolument faux et cela concerne seulement la matériel de la marque Ubiquiti.
Et non pas TOUTES les marques de router comme tu affirmes dans ton premier message

ca date pas de un an

Las brèches exploitées sont vieilles d'un an ( Insecure default configuration ) et je parle bien de la publication de la brèche.
Pas du virus qui comme tu le sais (ou probablement pas) sommeille 18 heures avant d'entrer en action et a été lancé dans la nature le vendredi 13 (et oui!),

Et ce n'est pas que our airOS

Tu ne sais pas qu'elle est la différence entre un firmware et un hardware ? 
   AirOs c'est le nom générique de leur système d'exploitation, pas un produit, c'est le firmware que tu trouves dans les produits wifi ubiquiti.





Le seul materiel affecté qui n'utilise pas AirOS se sont les switches, parcequ'un switch, c'est pas par les air. 
Si tu a un switch ubiquiti il faut aussi que tu fasses attention.   

Et de plus , la publication des nouveau firmware rapport a cette menace date du 16 Mai 2016 donc je crois vraiment que tu confond avec une autre de l'an passé !

Pas de confusion possible vu que l'attaque a été lancée le vendredi 13

This script is used to remove the virus to ubiquiti radios discovered on 05/13/2016 more information at: http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940

UBIQUITI OFFICIAL TOOL >>> http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Removal-Tool-05-15-2016/m-p/1564953#U1564953

I want to make my special thanks to Alexandre Jeronimo Correa - Onda Internet and PVi1 (Git user) by collaboration with improvements in code and some users who alerted me little mistakes.

Beware, this will change the HTTP port is 81

The exploit uses USER: mother and PASSWORD: fucker recommend trying to use this username and password before your own password, in our tests it is working. The mother user is removed during disinfection.

(du pur humour    : virus lancé le vendredi 13 et le malware s'appelle "mother fucker" (mf) et ce sont les identifiants qu'il habilite)   https://github.com/diegocanton/remove_ubnt_mf/
L'attaque s'est fait sentir ce week-end (le virus hiberne et est entré en action le samedi 14) et on en a parlé un peu partout avant que tu reçoive le mail
Tu as été informé après que la nouvelle se soit répandue dans les communautés d'utilisateur de matériel ubiquiti et après que le premier script pour effacer le virus ait été mis en ligne dans cette branche github
Je ne suis pas l'info au Québec, mais en Espagne on en parle depuis plusieurs jours:
Ataque masivo a equipos Ubiquiti

Publicada en 15 mayo, 2016 de overdrv Publicado en: Seguridad, Ubiquiti, WISP   2 Comentarios
Un equipo formado por Pedro Gracia (Impulzia), Franscisco Hidalgo (IB-Red) y Víctor De La Nuez (WiFi Canarias) hemos modificado el script creado por diegocanton (https://github.com/diegocanton/remove_ubnt_mf/) y creado una versión paralelizada capaz de escanear una red /24 en unos pocos segundos.

Nuestra recomendación:

· Ejecutar el script para detectar la presencia del virus. Limpiar si procede.
· Inmediatamente tras la desinfección, actualizar a la última versión (en este momento es la 5.6.4).
· Cambiar los puertos de gestión por defecto.
· Impedir el acceso a estos puertos desde internet.

Evidentemente hay margen para mejora del script pero, para este momento de urgencia, creemos que a muchos les puede salvar la vida.

Este script viene sin garantía de ningún tipo, no somos responsable del mal uso de este ni se ofrece soporte alguno.

También podéis borrar a mano el virus de esta forma:

cd /etc/persistent/
rm mf.tar
rm rc.poststart
rm -R .mf
cfgmtd -p /etc/persistent/ -w
reboot

¡IMPORTANTE ACTUALIZAR TRAS LA LIMPIEZA!

DESCARGA v1.0

 

ACTUALIZACIÓN 15 May @ 19:38

Mi buen amigo Juan Miguel Gallardo de Codisa Ingenieros, me pasa una modificación que de una sola pasada es capaz de detectar y limpiar.

DESCARGA

 

ACTUALIZACIÓN 15 May 20:21

Nuevo firmware oficial 5.6.5 de Ubiquiti con los siguientes cambios:

– New: Disable custom scripts usage
– New: Enable syslog by default
– Fix: Security updates (malware scripts check and removal)

http://www.ubnt.com/downloads/XN-fw-internal/v5.6.5/XW.v5.6.5.29033.160515.2108.bin
http://www.ubnt.com/downloads/XN-fw-internal/v5.6.5/XM.v5.6.5.29033.160515.2119.bin
http://www.ubnt.com/downloads/XN-fw-internal/v5.6.5/TI.v5.6.5.29033.160515.2058.bin

Para usuarios que necesiten la versión que corrige el problema de acople con Verizon en placas XM:

http://www.ubnt.com/downloads/XN-fw-internal/v5.6.5/XM.v5.6.5-cpu400.29033.160515.2119.bin

met tes lunettes et regarde l'image

T'es mignon mais mets les tiennes et lit ce qui est écrit au lieu de regarder des images...

There have been several reports of infected airOS M devices over the last week.  From the samples we have seen, there are 2-3 different variations.  We have confirmed at least two of these variations are using a known exploit that was reported and fixed last year.

Brèches vieilles d'un an qui touchent le firmware airOS (ce qui signifie que plusieurs produits sont affectes)
Mon but n'est vraiment pas de discuter avec toi pare qu'il n'y a pas moyen d'avoir un échange constructif avec quelqu'un qui - j'ai du mal à comprendre mais chacun et comme il est - se refuse à admettre qu'il peut avoir affirmé des choses erronées.
Ça arrive à tout le monde, mais bon, passons....
Je crois qu'il y a suffisamment d'info, de links et de précisions pour ceux qui cherchent à se renseigner et à comprendre, libre à toi d'en faire autant... ou pas.   

[Checkfx]

j'ai pas besoins décrire tant que ca pour dire que ... tout les routeur fonctionne sur un firmware la plupart sur du linux faque si ubnt sont faillible TOUS le sont !

[kcdtv]

Mais oui c'est bien tu as raison 

[Sghost1405]

J'ai toujours extrêmement beaucoup de plaisir à te lire kcdtv, tout est bien fourni et permet aucune faille de compréhension, excellent merci comme d'habitude.

[kcdtv]

C'est réciproque 

[Checkfx]

http://www.symantec.com/connect/blogs/thousands-ubiquiti-airos-routers-hit-worm-attacks

So far this malware doesn’t seem to perform any other activities beyond creating a back door account, blocking access to the device, and spreading to other routers. It’s likely that the attackers behind this campaign may be spreading the worm for the sheer challenge of it. It could also be evidence of an early, exploratory phase of a larger operation. Either way, this campaign potentially grants the attackers access to a large amount of routers, putting their targets’ infrastructure at risk.

quand je disais que TOUT les routeurs pouvait etre affecté .... 


Fucking ! BAZINGA

[kcdtv]

Quant tu lis "spreading to other routers" ils parlent bien évidement de routeurs avec firmware AirOS  (ubiquiti)   
Ch'ais pas moi, lis et essaye de comprendre quelque chose à la brèche., c'est pourtant assez simple à comprendre pour un expert de ta trempe... 
fucking bazinga  OMG... T'as quel âge? 12 ans?
 

[Checkfx]

t'est tellement borné a juste me contredire que ca sert a rien de dialoguer avec toi ! En plus tu fait des attaques personnel la ou c'est inutile ..c'est qui , qui a 12 ans tu crois tes écris le prouve a 100% ! Tu refuse même de voir la vérité ou même des spécialistes l'explique ... tssss pas fort !

Oh les gars, vous êtes les membres les plus sérieux de la communauté, essayez de maintenir votre comportement exemplaire.

Checkfx, prends un peu de temps pour tester cette faille et tu verra quelle ne s'applique pas à tous les routeurs. C'est d'ailleurs quasi impossible compte tenu des disparités qui existent entre les modèles. Seul des failles affectant de composants très répandus (libc, etc) peuvent affecter un grand nombre d'équipements mais dans tous les cas, ce ne sera jamais tous les équipements.

[kcdtv]

Désolé admin, ça ne se reproduira plus... ma remarque "tu as quel âge?" était en effet déplacée.
Soyons zen.
De mon côté je demande donc pardon à Chefx pour mon commentaire ironique qui n'était ni correct ni malin.
En espérant qu'il fasse de son côté la part des choses  (je n'attends pas d'excuses mais je crois qu'il pourrait aussi) car si ma réaction n'était pas la bonne  c'est  du à son attitude "très peu constructive" dans cet "échange":
dès le début une réflexion déplacée avec "mets tes lunettes";
Après avoir pris le temps d'expliquer la brèche en détail la réaction est "j'ai pas besoins décrire tant que ca" et je ne vais pas revenir sur le dernier message..
Le but dans un forum ce n'est "pas d'avoir raison" mais d'apprendre et d'échanger, n'est il pas? 
   Bonne nuit à vous deux.   

 

[Checkfx]

jveut pas non plus être déplacé et dire des conneries.

Donc passons et restons Zen et faisons ce que on fait de mieux c'est a dire aider les gens du mieux que l'ont peu !