Xploit skynet in Ubiquiti devices

PiPo e2H – Soluciones TIC Avanzadas Jose Luis Gomez – vEXPERT 2011-16, VCIX-NV, VCAP5-DCA/DCD/CIA, CCA, CCNA & VCP 4&5

2Ene/126

Vulnerabilidad en dispositivos Ubiquiti con AirOS v3/4 y AirOS v5

Share

Hola amig@s,

El pasado 19 de diciembre el equipo de soporte de Ubiquiti publicó una vulnerabilidad detectada. Este fallo de seguridad afecta a las siguientes versiones:

  • Productos 802.11 - AirOS v3.6.1/v4.0 (no afecta a versiones anteriores)
  • Productos AirMax - AirOS v5.x (todas las versiones)

El fabricante recomienda actualizar el firmware a cualquier dispositivo que se accesible por HTTP desde Internet. También facilita el procedimiento para eliminar el exploit y cómo solucionar el problema.

Para detectar si el dispositivo se encuentra infectado basta con acceder a la web de administración y comprobar si ha cambio el fichero admin.cgi por adm.cgi. Si es así, también habrá creado un script en /etc/persistent. Para comprobarlo accederemos por SSH a nuestro dispositivos y lanzamos el comando ls -la /etc/persistent y buscamos .skynet

Antes de actualizar el firmware de los dispositivos es necesario eliminar los ficheros infectados. Para esta operación ejecutamos un SSH contra nuestro dispositivo y ejecutamos los siguientes comandos:

cd /etc/persistent

rm rc.poststart

rm -rf .skynet

cfgmtd -w -p /etc/

reboot

Si se desea hacer una limpieza masiva de dispositivos a través de AirControl realizar los siguientes pasos:

  1. En AirControl elegir múltiples dispositivos.
  2. Clic derecho y seleccionar Operaciones/Tareas.
  3. Seleccionar Ejecutar Comando.
  4. En el campo comando introducir: "rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;" (sin comillas)
  5. Clic en Hecho.

Espero que os haya resultado de ayuda estos pasos. Si tenéis alguna duda podéis visitar el hilo que hay abierto en nuestro foro.

José Luis Gómez Ferrer de Couto

José Luis Gómez Ferrer de Couto

VMware vExpert since 2011 / VCP-DCV 4&5 / VCP5-DT / VCIX-NV / VCAP5-DCA/DCD / VCAP-CIA. Technical Architect at Computacenter. Author of blog PiPo e2H specialized in Virtualization, Storage and Networking.

More Posts - Website

Follow Me:
TwitterFacebookLinkedInGoogle PlusYouTube

Share

¿Te gustó este artículo?

¡Suscríbete a nuestro feed RSS!