Удаление эксплоита с Ubiquiti устройств

Заметил однажды распространение вируса/эксплоита в сети с устройствами Ubiquiti. Эксплоит используя уязвимость в старых версиях прошивок копировал себя на другие устройства и с них же атаковал следующие.

Под атаку в моем случае попались устройства airMAX M с прошивками ниже 5.6.2 XM/XW и включенным http/https смотрящим наружу.

Эксплоит сохраняется в /etc/persistant, создает поддиректорию .mf и файл mf.tar, а также использует rc.poststart
Пароль пользователя изменялся на случайно генерированный, но также можно было войти используя логин эксплоита moth3r и пароль fuck.3r либо fucker.

Посмотреть сгенерированный пароль можно командой ниже, однако позже он все равно менялся:

grep -E "users|sshd.auth.key" /tmp/system.cfg

Для удаления необходимо подключиться к устройству через SSH и выполнить следующие команды:

rm -fr /etc/persistent/rc.* /etc/persistent/profile
cfgmtd -w; reboot -f

После этих команд, логин и пароль вернется на прежний, а также необходимо сразу обновить прошивку устройства иначе возможно повторное заражение.

Также есть официальная лечащая утилита написанная на JAVA, скачать её можно тут:
https://www.ui.com/downloads/XN-fw-internal/tools/ubnt-CureMalware.zip
Она умеет сканировать указанную сеть, удалять эксплоит и обновлять прошивку.

Смотрите также мою статью:
Ограничение доступа к Ubiquiti по IP используя Firewall

Оставьте комментарий

Добавить комментарий