Virus su UBNT

[Linkwave]

Ricevo e pubblico, non so se è vera ma lo sembra
(mentre me la rido ...):

We contact you in order to inform that a very important vulneability has
been detected on the Ubiquiti Networks devices

(NanoStation, Loco, Bullet, Nanobridge, Powerbridge, Powerstation,
Picostation, etc ...) with the following firmware versions:

802.11 products - AirOS v3.6.1/v4.0 (previous versions are not affected)
AirMax products- AirOS v5.x (all versions)

This vulnerability allows access to the computer without a password and
a virus called Skynet can be installed in the Ubiquiti

machine, this virus acts sending messages on the traffic generated
through the port: 80 (http://), redirecting traffic to certain websites

and saturating wireless device memory, which causes unexpected reboots.

/How is the virus?/

The virus is a Linux script that is installed in a hidden directory and
after a reboot, begins to act.

/How to detect if your computer is infected Ubiquiti?/

Try opening the page http://wxyx/admin.cgi (where wxyz is the IP address
of Ubiquiti)

If the page does not open, the computer has been infected since the
virus renames it adm.cgi

/How do if my computer IS NOT INFECTED?/

Immediately update their firmware version Ubiquiti equipment, you can
download the lastest firmware versions that have eliminated

the vulnerability at the following address:

http://ubnt.com/support/downloads
/
How to proceed if my computer IS INFECTED?/

There are three options:

1) Ubiquiti has pledged to launch within 24 hours, a tool to eliminate
the virus in an easy and fast way.
2) Reset the computer to "factory defaults" and then upgrade the
firmware version.
3) Remove the script Skynet manually following the instructions detailed
below:

Access to the computer via SSH and run the following commands:

rm / etc / persistent / rc.poststart
rm-rf. skynet
save
reboot

After removing the script skynet (virus) using the procedure, proceed to
ename the file adm.cgi to the original admin.cgi and upgrade the
firmware to the latest available to the team at the following address:

http://ubnt.com/support/downloads

More information Ubqiuiti forum:

http://www.ubnt.com/forum/showthread.php?t=45169

[piciccia]

Anche in Spagnolo !!!!!!!!
;-)

Estimado cliente,

Nos ponemos en contacto con usted para informarles que recientemente se ha detectado una vulnerabilidad en los equipos de Ubiquiti Networks (Nanostation, Loco, Bullet, Nanobridge, Powerbridge, Powerstation, Picostation, etc...) con las siguientes versiones de firmware:

Productos 802.11 - AirOS v3.6.1/v4.0 (las versiones previas no están afectadas)
Productos AirMax - AirOS v5.x (todas las versiones)

Esta vulnerabilidad permite el acceso al equipo sin password y la instalación de un virus denominado Skynet que se instala en la máquina Ubiquiti y comienza a enviar mensajes en el tráfico generado a través del puerto :80 (http://), redireccionando dicho tráfico a eterminadas páginas web y saturando la memoria del equipo inalámbrico, lo que ocasiona reinicios inexperados.

Las máquinas más expuestas son aquellas instaladas en redes con acceso público (Estaciones Base y CPE).

¿Cómo es el virus?

El virus es un script Linux que se instala en un directorio oculto y tras un reinicio del equipo, comienza a actuar.

¿Cómo detectar si el equipo Ubiquiti está infectado?

Intente abrir la página http://w.x.y.x/admin.cgi (donde w.x.y.z es la dirección IP del equipo Ubiquiti)

Si la página no se abre, el equipo ha sido infectado, ya que el virus la renombra como adm.cgi

¿Cómo proceder si mi equipo NO está infectado?

Actualice inmediatamente la versión de firmware de sus equipos Ubiquiti, puede descargar las versiones firmware que han eliminado la vulnerabilidad en la siguiente dirección:

http://ubnt.com/support/downloads

¿Cómo proceder si mi equipo SI está infectado?

Existen tres opciones:

1) Ubiquiti se ha comprometido a lanzar antes de 24 horas, una herramienta para eliminar el virus de una forma fácil y rápida.
2) Resetear el equipo a "Valores de Fábrica".
3) Eliminar el script Skynet manualmente siguiendo las instrucciones que detallamos a continuación:

Acceder al equipo mediante SSH y ejecutar los siguientes comandos:

rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot

Una vez quitado el script skynet (virus) mediante el procedimiento descrito, renombrar el fichero adm.cgi al nombre originar admin.cgi y proceder a actualizar la versión de firmware a la última disponible para el equipo en la siguiente dirección:

http://ubnt.com/support/downloads

Puede encontrar más información en el foro de Ubqiuiti:

http://www.ubnt.com/forum/showthread.php?t=45169

Reciban un cordial saludo.

[Linkwave]

Anche in Spagnolo !!!!!!!!
;-)

Già!

Cmq, a vedere dal forum UBNT, sembra proprio vero ......

[Muqatil]

Hi All,
Today we have discovered a vulnerability which may grant remote users administrative access to Ubiquiti equipment running AirOS v3/4 and AirOS v5 without requiring authentication.

We have quickly fixed this issue and released an updated firmware with this vulnerability patched.

You can find the updated firmware here:
http://ubnt.com/support/downloads

Affected versions:
802.11 Products - AirOS v3.6.1/v4.0 (previous versions not affected)
AirMax Products - AirOS v5.x (all versions)
Updated versions are
v4.0.1 - 802.11 ISP Products
v5.3.5 - AirMax ISP Products
v5.4.5 - AirSync Firmware
We recommend anyone with AirOS devices accessible publicly (via HTTP) to upgrade as soon as possible to prevent this exploit from happening.

If you have any questions or require previous versions of firmware, please email us (support@ubnt.com).
__________________
Matt Hardy
Ubiquiti Networks