TECNOSOLUTION: Remover vírus Skynet: worm para airos ubiquiti!

Vulnerabilidade em antenas com sistema AirOS da empresa Ubiquiti com as versões 3.6.1/4.0 (Legacy) e todas as 5.x (Airmax).

Procedimento Passo a Passo para remoção do virus/worm!

Remoção:

Passo 01: Resete o equipamento para os padrões de fábrica ou elimine o script manualmente.

Passo 02: Entre no rádio via SSH (Recomendo utilizar o PUTTY)

ao ser executado, o PuTTY exibe a seguinte janela:

Como se pode ver, são preenchidos os campos "host name", "Protocol" e "Saved Sessions". No primeiro, é colocado o computador para o qual se deseja fazer a conexão. Já em "Protocol", define-se que deverá ser usado o SSH e não o Telnet (que vem por padrão). Finalmente, o PuTTY permite uma comodidade que é o salvamento dos dados da sessão. Graças a isso, não será necessário efetuar as alterações descritas mais que uma única vez. Para isso, basta fornecer-se um nome qualquer para a sessão (em geral utiliza-se o nome ou uma abreviatura do computador para onde está sendo efetuada a conexão) e clicar-se no botão Save. De acordo com o exemplo acima, surgirá então a seguinte tela:

Como se vê, agora existe uma sessão chamada default, que contém todos os parâmetros anteriormente configurados. Para acessá-la, basta clicar sobre ela duas vezes com o botão esquerdo do mouse.

Ao conectar-se pela primeira vez num computador, via SSH, surgirá a seguinte tela:

Ela informa alguns dados relativamente ao servidor. Em geral, não é necessário preocupar-se com isso. Ao se clicar em Yes, estes dados são armazenados juntamente com os demais dados da sessão para este servidor, não sendo novamente solicitados no futuro.

Após este último passo, deve surgir a tela mostrada na figura a seguir. Então, tudo passa a funcionar como numa sessão de telnet comum.

Passo 03: Digite login e password!

Passo 04: Digite o seguinte comando cd /etc/persistent/

Tecle enter, na próxima linha digite: ls –la

tecle enter novamente!

Passo 04: Caso sua antena não estiver com vírus aparecerá a seguinte tela!

Caso a mesma esteja com vírus aparecerá a seguinte tela!

Passo 05: Para remover o vírus digite o seguinte comando:

rm /etc/persistent/rc.poststart
rm -rf /etc/persistent/.skynet
cfgmtd -w -p /etc/
reboot

Neste momento o rádio vai ser reinicializado, quando ele retornar, vai estar sem o vírus, você deve atualizar o rádio com os firmwares disponíveis aqui:

http://www.ubnt.com/support/downloads

Passo 06: caso depois de atualizar o radio você deseje verificar se o vírus foi mesmo removido, digite o seguinte comando:

ls -l /etc/persistent/.skynet

O retorno deste comando deve ser o código:

XM.v5.3.3-ajcorrea# ls -l /etc/persistent/.skynet

ls: /etc/persistent/.skynet: No such file or directory

Curiosidades sobre o PuTTY

Copiar / Colar

Uma dúvida que costuma aparecer aos novos usuários do PuTTY é a forma de usar o sistema Copiar / Colar ( Copy / Paste ). É um dos recursos mais úteis do Windows e a solução do PuTTY é das mais simples. Basta usar o mouse para marcar o texto que se deseja copiar (o que é feito normalmente, ou seja, arrastando-se o apontador do mouse com o botão esquerdo do mesmo pressionado) e a cópia para a área de transferência do Windows será feita automaticamente.

Então, onde estiver o cursor de texto (normalmente a última linha do terminal) basta clicar sobre o botão direito do mouse. Os dados marcados serão automaticamente colados, tantas vezes quantas for pressionado o botão direito do mouse.

Alterar configurações de uma sessão salva

Após a sessão ter sido salva, suas configurações podem ser alteradas a qualquer momento, bastando para isso clicar sobre ela e depois no botão Load. O procedimento pode ser visto na figura a seguir.

Curiosidade: Como o vírus Skynet funciona:

01 - A Falha:

Há uma falha no sistema de autenticação do web-server interno (lighthttpd) onde é possível acessar as configurações via web sem nenhuma senha, bastando informar alguns parâmetros na URL. A ubiquiti desenvolveu um "formulário" de administração para facilitar algumas tarefas (upload,download de arquivos por ex.), este formulário torna a falha mais fácil de ser explorada.

02 - O WORM SkyNet:

Uma vez um único rádio infectado, o WORM espalha automaticamente pela rede, ele possui um 'daemon' que de tempos em tempos faz uma varredura em TODA rede. Ao encontrar os endereços vulneráveis, ele consegue enviar uma cópia do WORM para este(s) rádios. Estes novos rádios infectados vão fazer o mesmo procedimento, scanear e infectar os rádios que eles encontrarem.

O rádio infectado passa a não responder os comandos via WEB, ele remove TODAS as páginas, a única forma de acesso ao rádio é via SSH, se habilitado. Para rádios que não estão com SSH habilitado, a única forma de remover é fazendo o procedimento via TFTP.

O WORM tem um outro processo, que é o de ESCUTA de rede, ele coloca todas as interfaces em modo "promiscuo", onde é possível a captura de TODOS os pacotes. Com um FILTRO neste processo, ele consegue capturar dados do usuário, dados de administração da rede (usuário e senha de acesso ao rádio).

De tempos em tempos, o WORM verifica se foram coletados dados, se sim, ele envia estes dados para o IP informado no início do tópico.

Após algum tempo de atividade, o WORM consegue DESLIGAR o rádio com o comando 'halt', assim o rádio passa a não responder mais, sendo necessária intervenção técnica manual (Remover o rádio da tomada e liga-lo novamente).

Ao inicializar, o vírus toma conta do rádio novamente. Após determinado período, o rádio será desligado novamente.

Considerações finais:

É importante lembrar que, rádios que tenham IP VÁLIDO, vão espalhar o WORM pela rede INTERNA e também para a rede EXTERNA (internet). Caso o Administrador do provedor não remova o vírus rapidamente, provavelmente terá seu ip ou bloco bloqueado em diversas redes, tendo ainda mais problemas.

Após remover e atualizar, trocar TODAS as senhas, pois o vírus enviou estes dados e poderão ser utilizados para um novo ataque.