Впіймали вірус Тоді вам сюди

За останній тиждень до компанії Ubiquiti звернулося кілька власників пристроїв airMAX M, які повідомили про вихід з ладу пристроїв під керуванням операційної системи airOS.

Проблеми можна розділити на дві основні групи:

  1. На пристроях відбувається скидання всіх параметрів до заводських установок;
  2. Пристрої працюють, при цьому немає можливості отримати доступ до панелі керування.

Уразливості піддаються всі пристрої Ubiquiti зі старим програмним забезпеченням airOS і мають прямий доступ до Інтернету на зовнішньому інтерфейсі. Крім того, потенційну загрозу можуть нести зловмисники, що знаходяться в локальній мережі провайдера, наприклад, в мережах WISP.

Як перевірити пристрій щодо вразливості?

Для того, щоб перевірити ваш пристрій на предмет уразливості, звірте версію встановленого програмного забезпечення з таблицею. Нижче в таблиці кожного сімейства вказана версія ПЗ, у якій закрита вразливість.

ПристрійПрошивка
AirMAX M (XM/XW/TI)v.5.6.2+
AirMAX M (XM/TI)v. 5.5.11
AirMAX M (XM)v. 5.5.10u2
airMAX acv.7.1.3+
TOUGHSwitchv.1.3.2
airGatewayv.1.1.5+
airFiber (AF24/AF24HD/AF5)v.2.2.1+
airFiber (AF5x)v. 3.0.2.1+
airFiber Xv.3.0.2.1+

сюди

Рис.1. Перевірка пристрою на предмет уразливості

Утиліта для діагностики та виправлення проблем під Android

Ubiquitiсерйозно поставилася до цієї проблеми. Для платформи Andro > UBNT Virus Removal», яке дозволяє провести сканування вашої мережі та, при необхідності, виконати видалення вірусу та оновлення прошивки пристроїв.

сюди

Рис.2. Утиліта для діагностики та виправлення проблем під Android

Утиліта протестована на платформі airMAX M. Підтримуються також airMAX ac, airGatewat, airFiber та TOUGHSwitsh, хоча для цих платформ тестування не проводилося. У разі виникнення проблем сміливо звертайтеся до служби підтримки Ubiquiti.

Важливе зауваження: для пристроїв airMAX M здійснюється видалення шкідливого коду та модернізація прошивки до версії airOS v.5.6.5, що повністю відключає використання скриптів користувача. Якщо пристрій недоступний, потрібно буде прошивку за допомогою TFTP (інструкція трохи нижче).

Утиліта для діагностики та виправлення проблем під Linux, Windows та OSX

Для використання на платформах Linux, Windows та OSX, необхідно завантажити файл CureMalware-0.8.jar. Для роботи утиліти в системі має бути встановлений Java.

Утиліта здійснює пошук шкідливого коду у двох варіаціях, які зустрічали програмісти Ubiquiti. При оновленні airMAX M до версії v.5.6.5 всі скрипти видаляються «rc.xxxxxxxxx». Надалі використання скриптів стає неможливим, майте це на увазі.

Звертаємо Вашу увагу! Автоматичне оновлення програмного забезпечення airOS доступне лише для пристроїв airMAX M, а для інших платформ доступне лише видалення шкідливого коду.

Як використовувати утиліту CureMalware?

Для запуску скористайтесь командою:

Після запуску команди ви побачите наступний текст:

Далі система пропонує нам такі дії:

Вибираємо найбільш підходящий варіант:

Далі система попросить нас вказати порт SSH:

За замовчуванням використовується порт 22.

Далі система просить ввести логін, дефолтом це «ubnt»:

Наступний параметр можна вказати «y» (Yes), якщо на ваших пристроях скрізь однаковий пароль:

Це дозволить уникнути необхідності повторно вводити той самий пароль. Якщо паролі скрізь різні – вкажіть n (No).

Система починає сканування:

Для знайденого пристрою з'явиться запит пароля:

Після введення пароля система запустить перевірку прошивки, відобразиться відповідний статус «перевірка…»:

Далі відобразиться результат перевірки приблизно такого вигляду:

Система повідомляє про знайдений експлоїт із зазначенням його розташування та назви.

Подальші дії виконуються залежно від раніше встановлених параметрів (видалення, очищення):

Система рекомендує змінити пароль, а також запустити процес оновлення:

Ручне видалення експлоїту

Трапляються випадки, коли необхідно видалити вірус/експлоїт у ручному режимі. Зробити це можна за допомогою командного рядка (через SSH). Один з найпопулярніших клієнтів SSH - PuTTY.

тоді

Рис.3. Видалення вірусу в ручному режимі за допомогою командного рядка одного з найпопулярніших клієнтів SSH – PuTTY

Переконайтеся, що у вас увімкнений сервер SSH: розділ Deviсe > Management Connection Settings > SSH Server.

Попередньо перевірте правильність ключів та користувача:

тоді

Рис.4. Перевірка правильності ключів та користувача

Настійно рекомендується видалення всіх скриптів, якщо ви їх не використовуєте взагалі:

Після цього виконайте команду:

Пристрій перезавантажиться,після чого рекомендується видалити ключ аутентифікації (з перезавантаженням):

Панель управління airOS недоступна, що робити? Відновлюємо прошивку через TFTP

Бувають випадки, коли при пошкодженні прошивки неможливо скинути пристрій до заводських налаштувань і зайти в панель керування.

Якщо пристрій не завантажується, або є проблеми з доступом, слід вдатися до процедури відновлення прошивки. Насамперед завантажуємо клієнт tfpt 2 (або tftpd32, що зручніше).

Кнопку Reset потрібно утримувати до тих пір, поки індикатори на пристрої не почнуть блимати, зазвичай приблизно 8-15 сек.

сюди

Рис.5. Оновлення прошивки

Якщо використовується інша операційна система, замість GUI можна вдатися до використання командного рядка. Команда виглядатиме так:

Підвищення безпеки за допомогою файрволу

Бувають випадки, коли без скриптів користувача не обійтися. У цьому випадку необхідно утриматися від оновлення на v.5.6.5 і залишатися на v.5.6.4 до випуску нової версії програмного забезпечення.

Для пристроїв, які мають публічний (зовнішній) IP, у розділі Network > Remote Management (Мережа > Дистанційне керування) слід обмежувати доступ ззовні.

Для захисту всередині локальної мережі слід використовувати правила файрволла. Ця функція є у режимі маршрутизатора (Router).

Нижче наведено приклад конфігурації Firewall, де IP роутера 192.168.1.31.

тоді

Рис.6. Підвищення безпеки за допомогою файрволу

Для кожного із трьох протоколів додається по 2 правила. HTTP використовує 80-й порт, HTTPS 443-й, а SSH – 22-й порт.

Якщо Ви знайшли помилку в тексті, виділіть її мишкою і натиснітьCtrl + Enter абонатисніть тут.

Велике спасибі заВашу допомогу! Ми скоро виправимо помилку!

Повідомлення не було надіслано. Будь ласка, спробуйте ще раз.