Te diré algo, la verdad es que en una red uno de los puntos más críticos que podemos encontrar, son los dispositivos que la conectan, ellos conocen todo lo que se mueve por la red, muchas de ellas no cifran la información que viaja internamente, ya sea por comodidad o simplemente ahorro de dinero.
Pues desde el pasado viernes 13 de mayo, de este 2016, se está detectando ataques masivos a todos los equipos Ubiquiti que dispongan de los siguientes firmwares:
- Airmax con firmware AiorOS 5.6.4(XM/XW) y Legacy 4.0.4(XS)
- AirFiber con firmware AF24/AF24HD 2.2.1 o 3.2.
- AirFiber con firmware AF5X 3.0.2.1+
Estos contienen una vulnerabilidad bastante conocida, pues lleva más de un año que se descubrió y obviamente fue parcheada en versiones posteriores a las mencionadas. Básicamente este fallo afecta a los perezosos administradores que no programan correctamente las actualizaciones de sus equipos.
Estos piratas se valen de un fallo encontrado en los módulos PHP y LightHttpd, usan un scrip escrito en PHP que se instala de forma remota, comienza identificar todos los equipos de la marca que tengas en la red y claro, con uno de los firmwares mencionados, controlaran los equipos y todo esto sin usar el servicio nativo UBTN Discover, lo que los ayuda a mantener el anonimato.
Lo interesante es que esperar 18 horas, pasado este tiempo el virus se activa y resetea los equipos a sus valores de fabrica.
Todo ataque informático sigue algún fin, muchos por dinero, otros por fama, pero algo persiguen.
Como protege tus equipos de Ubiquiti Network:
Para protegerte, lo primero que debes hacer es ingresar a la página de UBTN Network, busca tu equipo, indagar sobre la última versión de firmware disponible, descargarla e instalarla, mantén la costumbre de actualizar periódicamente, si no hay mas actualizaciones plantéate cambiar el equipo a uno más reciente que si disponga de soporte.
Verifica que servicios están corriendo en tus equipos UBIQUITI, tal vez debas bloquear los accesos HTTP/HTTPS y las conexiones SSH, estos por defecto corren sobre los puertos 80, 443 y 22 respectivamente, si no sabes cómo pues busca ayuda.
Es altamente recomendable ejecutar el siguiente script que detecta y elimina la infección según SinCables, o puedes hacerlo manual usando los siguientes comandos para eliminarlo por completo:
cd /etc/persistent/
rm mf.tar
rm rc.poststart
rm -R .mf
cfgmtd -p /etc/persistent/ -w
reboot
Ya como última recomendación, te sugerimos entrar al portal oficial de Ubiquiti y mantente al día sobre tus equipos.