PiPo e2H – Soluciones TIC Avanzadas Jose Luis Gomez Ferrer de Couto – vExpert'11, CCNA, VCP 4&5, CCA, EMCVSE, ACE

Vulnerabilidad en dispositivos Ubiquiti con AirOS v3/4 y AirOS v5

Hola amig@s,

El pasado 19 de diciembre el equipo de soporte de Ubiquiti publicó una vulnerabilidad detectada. Este fallo de seguridad afecta a las siguientes versiones:

• Productos 802.11 - AirOS v3.6.1/v4.0 (no afecta a versiones anteriores)
• Productos AirMax - AirOS v5.x (todas las versiones)

El fabricante recomienda actualizar el firmware a cualquier dispositivo que se accesible por HTTP desde Internet. También facilita el procedimiento para eliminar el exploit y cómo solucionar el problema.

Para detectar si el dispositivo se encuentra infectado basta con acceder a la web de administración y comprobar si ha cambio el fichero admin.cgi por adm.cgi. Si es así, también habrá creado un script en /etc/persistent. Para comprobarlo accederemos por SSH a nuestro dispositivos y lanzamos el comando ls -la /etc/persistent y buscamos .skynet

Antes de actualizar el firmware de los dispositivos es necesario eliminar los ficheros infectados. Para esta operación ejecutamos un SSH contra nuestro dispositivo y ejecutamos los siguientes comandos:

cd /etc/persistent

rm rc.poststart

rm -rf .skynet

cfgmtd -w -p /etc/

reboot

Si se desea hacer una limpieza masiva de dispositivos a través de AirControl realizar los siguientes pasos:

1. En AirControl elegir múltiples dispositivos.
2. Clic derecho y seleccionar Operaciones/Tareas.
3. Seleccionar Ejecutar Comando.
4. En el campo comando introducir: "rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;" (sin comillas)
5. Clic en Hecho.

Espero que os haya resultado de ayuda estos pasos. Si tenéis alguna duda podéis visitar el hilo que hay abierto en nuestro foro.