Descubierta vulnerabilidad de seguridad en equipos Ubiquiti

¡Noticia Importante! Se ha descubierto una vulnerabilidad de seguridad en los dispositivos de la marca Ubiquiti Networks (Nanostation, Loco, Bullet, Nanobridge, Powerbridge, Powerstation, Picostation, etc…). Al parecer, esta falla afecta a los dispositivos con las siguientes versiones de AirOS:

  • Gama 802.11  – AirOS v3.6.1/v4.0 (las versiones previas no están afectadas).
  • Gama AirMax – AirOS v5.x (todas las versiones).

El problema más importante de esta vulnerabilidad permite el acceso al dispositivo Ubiquiti sin necesidad de contraseña. Esto es debido a un virus conocido como Skynet (no, no es el de Terminator). Otro problema de este virus es que envía mensajes en el tráfico generado a través del puerto :80, saturando la memoria y ocasionando reinicios inesperados. El virus es un script Linux que se instala en un directorio oculto y tras un reinicio del equipo, aparecen estos problemas.

Por lo visto, los dispositivos más afectados son los instalados en redes de acceso público.

Vulnerabilidad en dispositivos Ubiquiti

Cómo saber si mi equipo Ubiquiti está infectado con Skynet

La comprobación es muy fácil. Simplemente intentaremos abrir la página http://192.168.1.20/admin.cgi. Si hemos cambiado la IP por defecto del equipo debemos sustituir 192.168.1.20 por la IP que le hayamos asignado.

Si la página no se abre, el equipo ha sido infectado, ya que el virus la renombra el archivo admin.cgi de la ruta como adm.cgi

Como evitar que mi equipo Ubiquiti se infecte con Skynet

Debemos actualizar de inmediato la versión de firmware AirOS a la última disponible. Podemos descargar prácticamente todas las versiones a través de la web del fabricante: http://ubnt.com/support/downloads

Mi equipo Ubiquiti está infectado ¿Qué puedo hacer?

El fabricante afirma que facilitarán una herramienta para eliminar el virus de forma sencilla, pero mientas no esté disponible la única forma de eliminar el script sería: en primer lugar, resetear el equipo a los valores de fábrica. Luego, acceder mediante SSH y ejecutar los siguientes comandos:

rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot

Una vez eliminado el script Skynet, hay que renombrar el fichero adm.cgi al nombre original admin.cgi.

Por último, actualizaremos el firmware AirOS a la última versión. Recordamos que para descargar el archivo necesario tenemos que irnos a la web del fabricante: http://ubnt.com/support/downloads

Hilo sobre el problema en el foro oficial de Ubiquiti: http://www.ubnt.com/forum/showthread.php?t=45169

Articulos relacionados :

Twitter Digg Delicious Stumbleupon Technorati Facebook

9 Responses to “Descubierta vulnerabilidad de seguridad en equipos Ubiquiti”

  1. aviso, el virus captura las cookies que usa facebook, y las manda a un server. No es que solo se cuelgue el equipo, sino que lo apaga cada 27hs

  2. hice el test utilizando la ruta admin.cgi y la ruta adm.cgi y con las abre que significa esto?

  3. ¿Con cuales te abre, Luis?

  4. con las dos rutas abre la pagina de login eso esta bien o mal?

  5. LaCuevaWifi 02. Mar, 2012 at 9:51

    Teóricamente adm.cgi es el mismo archivo admin.cgi pero renombrado por el virus. Limpia la caché de tu navegador y vuelve a intentarlo. En cualquier caso, para asegurarte testea tu Ubiquiti con esta herramienta: http://www.lacuevawifi.com/CompraWifi/2012/01/22/herramienta-de-ubiquiti-para-eliminar-el-virus-skynet/

  6. Una pregunta como comfiguro mi loco m2 para conectarel una router en la lan???