Cez víkend sa začal intenzívne šíriť škodlivý vírus v podobe červa, ktorý napáda medzi poskytovateľmi pripojenia populárne WiFi zariadenia od výrobcu Ubiquiti Networks.
Červ
Vírus vďaka šíreniu mechanizmom červa, pri ktorom sa samotné infikované zariadenia snažia infikovať ďalšie zariadenia, rýchlo infikoval rozsiahlu infraštruktúru viacerých poskytovateľov pripojenia k Internetu cez WiFi vrátane viacerých slovenských poskytovateľov. Bez pripojenia bolo alebo stále je tak zrejme výrazne viac ako tisíc slovenských zákazníkov.
Problémy majú okrem iného Isper a RadioLan, ktorí problémy avizujú na svojich stránkach a aktuálne situáciu stále riešia.
Kompletné detaily o víruse zatiaľ nie sú k dispozícii, podľa informácií Ubiquiti ale potvrdene minimálne dve jeho varianty využívajú chybu vo firmvéri opravenú už v júli minulého roka, konkrétne vo firmvéri airOS 5.6.2 pre zariadenia airMAX M. Podľa spoločnosti v obehu môžu byť ale tri varianty vírusu. V každom prípade Ubiquiti zároveň aj v tomto oznámení ubezpečuje, že firmvér 5.6.2 je bezpečný.
V starších verziách firmvérov sa nachádzala chyba, ktorá útočníkovi umožnila na zariadeniach s dostupným webovým rozhraním získať plný prístup k zariadeniu. Poslednou verziou firmvéru, ktorá mala túto chybu obsahovať, je u airMAX M zariadení verzia 5.6.1 zo začiatku júla minulého roka.
Ilustračný obrázok, WiFi zariadenie Ubiquiti integrované s anténou, kliknite pre zväčšenie (foto: Ubiquiti Networks)
Niektorí užívatelia v súčasnosti hlásia detekciu infekcie ale aj na zariadeniach s novším firmvérom. Podobne RadioLan podľa informácií spolumajiteľa Filipa Križka pre DSL.sk detekoval škodlivý kód aj na zariadeniach s firmvérom 5.6.4, nevylučuje ale skoršiu infekciu ešte pred upgradom pri predchádzajúcej verzii firmvéru. Detailné informácie operátor analyzuje. Rovnako podľa informácií Simony Hrtánkovej z Isperu útok nedokázali zastaviť ani najnovšie verzie firmvéru po 5.6.4.
Bližšie informácie a či niektorých užívateľov vrátane slovenských poskytovateľov zasiahla na rozdiel od verzií analyzovaných Ubiquiti Networks verzia vírusu zneužívajúca aj nejakú inú zatiaľ verejne neznámu zraniteľnosť v novších respektíve posledných verziách firmvéru zisťujeme.
V každom prípade Ubiquiti v pondelok zároveň s oznámením vydala novú verziu firmvéru 5.6.5 pre airMAX M zariadenia, ktorej účelom podľa popisu je odstrániť prípadnú infekciu. Zároveň táto verzia nepovoľuje ale upravené štartovacie skripty, ktoré červ využíval, a pre nasadenie u väčších ISP tak nemusí byť vhodná. Pre týchto zákazníkov odporúča Ubiquiti používať verziu 5.6.4. Nová verzia tiež štandardne zapína logovanie pomocou syslog.
Ubiquiti tiež vydala nástroj umožňujúci vyčistiť infikované zariadenie na diaľku.
Červ si získal prezývku Motherfucker, okrem iného podľa kombinácie mena a hesla ktoré volí. Aký účel chceli autori červom dosiahnuť nie je zatiaľ jasné.
RadioLan
V prípade RadioLan sa začali infekcie objavovať v sobotu a problém naplno prepukol v noci zo soboty na nedeľu. Vírus infikoval ako klientské WiFi zariadenia u zákazníkov tak zariadenia prístupovej siete.
Vírus podľa informácií Križka prechádza po infikovaní viacerými stavmi a pri včasnom zásahu ho je možné úspešne odstrániť. RadioLan v noci na nedeľu začal riešiť tzv. krízový plán a napísal si skript, ktorý postupne zariadenia odvirovával, bohužial mali byť opakovane infikované.
V neskorších fázach podľa dostupných informácií môže vírus zneprístupniť zariadenie nastavením vlastného prístupového kľúča alebo ho uviesť do továrenských nastavení. Sprevádzkovať takéto zariadenia je už ale potrebné individuálne.
Prístupovú sieť sa podarilo RadioLanu obnoviť podľa Križka v nedeľu doobeda. Aktuálne ale eviduje ešte približne tisícku problémových klientov.
Isper
Isperu bolo infikovaných približne 600 zariadení, pričom takmer všetky boli zresetované do továrenských nastavení.
Podobne ako RadioLanu sa Isperu podarilo časť zariadení, cca 30%, ochrániť.
Obnovenie infikovaných zariadení väčšinou vyžaduje fyzický prístup ku každému jednému zariadeniu a ich obnova ešte prebieha.
Isper ani RadioLan zatiaľ neavizujú, dokedy by mali vyriešiť problémy všetkých zákazníkov.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
Shiet
Od: omfgomfg
|
Pridané:
17.5.2016 16:14
V MI mal s tymto problem GeCom
http://gecom.sk/?kat=oznamy&id=162
|
| |
Motherfucker
Od: MarkoMarko
|
Pridané:
17.5.2016 16:36
"Červ si získal prezývku Motherfucker, okrem iného podľa kombinácie mena a hesla ktoré volí. Aký účel chceli autori červom dosiahnuť nie je zatiaľ jasné."
Pobavilo!
|
| |
Re: Motherfucker
Od: flack
|
Pridané:
17.5.2016 21:02
Jasne to je kazdemu vtakovi..
Ze demonstroval zneuzitie bezpecnostnej diery, ktora vo firmwaroch bola znama uz dlhsie. Ten kto to mal na haku a mal public IP dostal poza usi.. Dobre ze tak.. predstavte si ze by tento clovek nedemonstroval co sa stym da spravit. A vas oblubeny Big Brother by vykradal Vase sukromia takmer s otvorenymi dverami.
|
| |
Re: Motherfucker
Od: lamka1
|
Pridané:
7.6.2016 16:20
Netusim, co mohli autori z firmy Mikrotik chciet dosiahnut napisanim virusu pre Ubiquiti. Je to zahada.
|
| |
ako sa siri?
Od: nechapem :(
|
Pridané:
17.5.2016 16:44
nechapem ako sa siri tento virus, vie mi to niekto prosim vysvetlit? Zauima ma hlavne odkial sa siri? Zo zariadeni uzivatelov, alebo od internetoveho poskytovatela? Alebo ten cerv len tak generuje IP adresy a snazi sa na ne rozsirit ak sa jedna o zranitelne zariadenie? Dakujem
|
| |
Re: ako sa siri?
Od: nechpaem
|
Pridané:
17.5.2016 16:58
a co su tieto WiFI zariadenia o ktorych je clanok? Su to routery, access pointy alebo extendery?
Sa mi zda divne ze by access pointy sa navzajom infikovali iba na lokalnej sieti, to by ten virus nemal ziaden dopad na internete ale iba na nejakej LANke...
|
| |
Re: ako sa siri?
Od: ffuuuccckkkeeer
|
Pridané:
17.5.2016 18:05
www.ubnt.com
|
| |
A To som si myslela aké dobré železá
Od: Janka Nehospodárna
|
Pridané:
17.5.2016 16:45
som kúpila u mimozemšťana ked tam majú 99% spolahlivost človek si odtrhne od huby aby nekupil Trepelink a Tondu a teraz toto...
Tak som uplakaná upgradovala na 5.6.5 a čakám kadiaľ vykukne ten červ čo ho tu všetci chlapci spominajú...
Teraz premyslam či aj ten ajfón bola dobrá kúpa červíky zvyknú byvať aj v jablkách.
Koniec trapneho prispevku.Next Slintaj Nerror
|
| |
Re: A To som si myslela aké dobré železá
Od: Mäsiar
|
Pridané:
17.5.2016 17:03
Sitoty ? http://dopice.sk/hsf
|
| |
Re: A To som si myslela aké dobré železá
Od: Dežo- osadný operátor(juch)
|
Pridané:
17.5.2016 18:00
No vidíš ty johana, mala si enem kúpiť Mirkotik.
|
| |
wormfi
Od: trololoman
|
Pridané:
17.5.2016 17:34
Hm, červivé wifi sme tu tuším ešte nemali.
|
| |
....,
Od: Gemb
|
Pridané:
17.5.2016 17:48
Celkom sranda, ked mnoho ISP ma na tom aj spoje a cervik vam odstavi zopar POPov.
|
| |
Re: ....,
Od: jvn
|
Pridané:
17.5.2016 18:36
Seriozny ISP vie, ze radia nepatria na verejne IPcky.. A ked uz, tak aspon treba zmenit standardne porty (80, 443 a 22). Ja nemam na sieti ani jedno radio zavesene na verejnej IPcke.. Manazment je stale iba cite lokalny, takze nieco taketo sa do radia dostane len velmi tazko..
|
| |
Re: ....,
Od reg.: pocitujlasku
|
Pridané:
18.5.2016 8:09
seriozny to vie, ale tiez vie to, ze vsetky zariadenia maju byt na inom segmente, ako su koncove zariadenia. Idealne vlan. Aby sa nestalo, ze nejaky zakaznik chyti takyto virus, a ten pojde pekne po LAN.
|
| |
Re: ....,
Od: ...
|
Pridané:
18.5.2016 8:55
ubnt "M" verzii bez problemov zvlada management vo vlan, takze nechapem akykolvek dovod na to aby tie zariadenia boli dostupne odinokade...
(a pri tych starsich sa mu vlan dala vnutit editaciou startup skriptov...)
|
| |
Re: ....,
Od: slovina
|
Pridané:
18.5.2016 8:57
neviem, o čom sa seriózny radia, ale čakám od nich serióznejšiu gramatiku
|
| |
Re: ....,
Od: feroxxx
|
Pridané:
22.5.2016 12:40
seriózni sa v pluráli píše s 'i' na konci, ty gramatika..
|
| |
wofu-1
Od: umds
|
Pridané:
17.5.2016 17:56
a to zase bude: "Nem evidujeme u nás žiaden výpadok. Reštartovali ste si rúúter??"
|
| |
Konfernet
Od: ASE
|
Pridané:
17.5.2016 21:24
Haha to mi pripomina konfernet, garant linka za nekrestanske peniaze 3 mesiace to stale padalo a kedze garant linka bola hlavne kvoli ludom co potrebovali remote pracovat tak poriadne sa 3 mesiace nepracovalo, niekolko krat za den co den som im volal, stale to len riesili potom poslali technika ktory mal prist dalsi den o 10 prisiel o tyzden ... spravil odisiel o 2hod to zas neslo ... po 3 mesiacoch som tam zavolal povedal a dost ze na tej linke je garant len jej nestabilita a ta pica s ktorej som tam za 3 mesiace volal 150x mi povie ze to pocuje prvy krat ... potom mi dala toho technika ktoremu som to hovoril dalsich 200x a ten ze to pocuje tiez prvy krat tak som im povedal ze som u nich na cetrale za 20min a ci si takto budu utahovat aj face 2 face ... o 20min mi tam nik neotvaral
|
| |
Re: Konfernet
Od: Fasa
|
Pridané:
17.5.2016 21:35
Nam sa jeden specialista z nemenovanej firmy prekecol, ze maju opticky bezdrotovy spoj :) Asi na seba z dialky blikaju jak vojnove lode z WW2 :)
|
| |
Re: Konfernet
Od: Matúš Čák
|
Pridané:
17.5.2016 21:48
Každý optický spoj je predsa bezdrôtový! Videl si už optické vlákno vyrobené z drôtu? :-)
|
| |
Re: Konfernet
Od: Dysbo
|
Pridané:
17.5.2016 21:55
Si myslíš že si z niekoho strieľaš, ale vystrelil si si sám zo seba... Takéto spoje ozaj existujú a presne ako píšeš na seba blikajú. Kedysi dávno si to robili podľa amatérskeho rádia fanatici doma. Išlo to síce iba na pár desiatok metrov 2mbit/s ale išlo...
|
| |
Re: Konfernet
Od: pixall
|
Pridané:
17.5.2016 23:01
Bezdrotovu optiku pod nazvom Ronja som prevadzkoval asi pred 10 rokmi, absolutne stabilnych 10mbit fullduplex na pol kilometra, ziadna wifina sa na to vtedy nechytala... ziadne rusenie, ping ako po kabli.. v tej dobe to bola uplna tutovka. Pruser bol len parkrat do roka, ked prisla hmla husta ako mlieko, a zrazu linka dole.. vtedy bola aj wifina dobra :)
|
| |
Re: Konfernet
Od: ...
|
Pridané:
18.5.2016 8:58
ja som s tym zazil aj pruser ze nedaleko zacali stavat dom, a sice nebol v trase, ale prach odtial sa siriaci sposoboval to ze bolo treba dost casto chodit cistit sosovky...
ale inac ano, na tu dobu to boli super spoje a na tych par chvil kedy bola prilisna hmla sa oplatilo tam mat este jednu wifinu ako backup...
(a boli aj 100M verzie :-))
|
| |
Re: Konfernet
Od: tebe h*vn* potym
|
Pridané:
17.5.2016 22:34
kuk http://goo.gl/E809f5
|
| |
Re: Konfernet
Od: 2v1
|
Pridané:
17.5.2016 22:37
http://ronja.twibright.com Opticky bezdratovy spoj. Dalsie poziadavky z krajiny zazrakov?
|
| |
Re: Konfernet
Od: len tak naokraj
|
Pridané:
19.5.2016 6:10
chlapec si myslis,ze ked nieco nepozna,tak to ani neexistuje ))) co tak sa skusit opytat uja gugla? napr
http://www.cbl.cz/opticke-bezdratove-spoje.php
|
| |
Re: Konfernet
Od: lolekbolek2
|
Pridané:
29.9.2017 2:02
nahodou mame vo firme aj doma konfernet uz asi 8 rokov a maximalna spokojnost. Garant je garant a funguje to od nich velmi dobre.
|
| |
RL-skusenosti
Od: Cilpi
|
Pridané:
17.5.2016 23:05
Moje skusenosti konkretne s RL. Od soboty lagy a vypadky internetu na rozne dlhy cas, od sekund az po desiatky minut. Ked to slo, tak rychlost velmi kolisala, ale bola okolo D/U=1,0/0,3Mbit!. To iste v nedelu, v pondelok a utorok rano. V utorok poobede uz vsetko OK, rychlost je D/U=20/2Mbit tak, ako ma byt podla zmluvy. Dufam, ze to vydrzi aj nadalej.
|
| |
Re: RL-skusenosti
Od: 4Maniak..
|
Pridané:
18.5.2016 8:20
A ako sa ten červík volá? Pri určitej početnosti nákazy predsa reagujú antivírusové spoločnosti, napr. McAfee.
Je to nákaza zvonku, alebo niekto dal na trh zariadenie s podivným firmvérom?
|
| |
UBNT a jeho popici software
Od: omgomgomgx
|
Pridané:
18.5.2016 12:15
No a hlavne ked som dal masovo upgradovat firmware cez aircontrol2 a zopar sa ich uz ani neprebralo a treba k nim ist fyzicky...
Uz mi ubnt ide na nervy s ich betaverziami vsetkeho a na vsetko pouzivajuc uzivatelov ako testovacie objekty.
|
| |
Re: UBNT a jeho popici software
Od: klávesnice
|
Pridané:
18.5.2016 12:33
Praješ si stabilný spoj? UBNT v tej cenovej relácii sú len WiFi, tam sa o garancii bezporuchovosti nedá hovoriť. Pre také to domáce žuvanie je to fajn. Do firmy jedine licencované spoje NEC /ERICSSON/atď...
|
| |
Re: UBNT a jeho popici software
Od: ahaho
|
Pridané:
18.5.2016 15:17
sak dolezite veci mame na licenc radiach ale tu ide o radia u klientov na to su ubnt ideal. Mikrotiky sral pes. Ale ked ti ubnt tool na upgrade odjebe funkcne radia u klientov a upgradujes ich po milion rokoch len koli tomu ze ved preistotu koli nejakemu ich problemu so security tak sa asi nepotesis...
strata casu penazi ktoru ti nikto nezaplati.
|
| |
Re: UBNT a jeho popici software
Od: pixall
|
Pridané:
19.5.2016 0:56
Zariadenia treba upgradovat priebezne, lebo ked sa upgraduje naraz zo 40 roznych verzii, moze to skoncit vselijak. My najprv sa nasadzuje novu verzia manualne na par zariadeni, nechame bezat, a ak je to OK, tak automatika ugraduje zbytok. A vzdy sa bezi viacmenej len na jednej-dvoch verziach naraz. Prechody su takto predvidatelne a viacmenej bezbolestne. Odmenou nam je pri viac ako tisicke UBNT zariadneni celkovo nula infekcii...
|
| |
Titulok
Od: Ferimex
|
Pridané:
18.5.2016 15:29
Aj ISP Ferimex v okrese Stara Lubovna pouziva Ubiquiti zariadenia...
|
| |
Re: Titulok
Od: načokameruješbuzerant
|
Pridané:
18.5.2016 22:02
A Dezidernet v Angi mlyne používa všetky zariadenia, ktoré sa dajú odniesť.
|
neprihlásený 
