[Wien] Ubiquiti Malware / Virus! Bitte prüft eure Geräte (dzt. nur Antennen betroffen)

Aaron Kaplan (spam-protected)
Mo Mai 16 20:02:31 CEST 2016 

On Mon, May 16, 2016 at 01:47:25PM +0200, David Hopfmueller wrote:
> On 05/16/2016 10:48 AM, Stefan Schultheis (home) wrote:
> 
> [Re-post; sorry, ging vorhin an die falsche Liste]
> 
> Hi,
> 
> >ich hab' mal meine Erkenntnisse und Vorschläge zur raschen Lösung hier
> >zusammengefasst:
> >https://stefan.schultheis.at/2016/ubiquiti-airos-hack-funkfeuer/
> 
> Wow, ein Drittel des Netzes ist offline?! Ich wusste nicht, dass das
> derartige Ausmaße angenommen hat. Danke für Eure Beiträge, Bernhard,
> Chris, Erich und Stefan!


Ja, auch zuerst mal ein grosses DANKE von mir an Bernhard, Chris , Erich
und Stefan. 


> 
> Mich wundert, dass es zu dem Thema nicht mehr Traffic auf dieser
> Liste gibt. Da müssen doch einige zig Leute betroffen sein. Ist das
> großteils unbemerkt geblieben, kommuniziert ihr offline, leidet in
> Stille, …?

Ich denke, das ist einfach das verlaengerter Wochenende. Guter Zeitpunkt
fuer einen Wurm.
Wir werden das auch im CERT so schnell als moeglich ansehen. 
Es gibt da sicher eine Menge UBNT AirOS Geraete da draussen im Feld.

> 
> Wir sollten jedenfalls für die Zukunft eine Lösung finden. Der
> Vorfall ist ein weiteres Argument gegen Black-Box-Devices wie die
> Ubnt-Bridges. Und ein deutlicher Reminder, uns als Community um eine
> Update-Strategie und ein Sicherheitskonzept zu kümmern.

ACK!!!


War gerade dabei, eine Mail an die Listen zu schreiben , aber eure Mails
waren vor meiner.
Hier sind meine Vorschlaege:

--- snip ---
Erich und Bernhard haben mich dankenswerter weise auf einen sogenannten
"Wurm" [1] fuer Ubiquity devices aufmerksam gemacht. Das duerfte nach
meinem aktuellen Wissensstand unser Funkfeuer Netz durchaus stark
beschaedigt haben (ca. 25% der Geraete koennten oder sind infiziert).

Wir werden uns das in der Arbeit (CERT) genauer mal ansehen und nach
Moeglichkeit herausfinden, wie viel vom Interent bzw. oesterreichischem
Internet davon befallen ist. In der Zwischenzeit koennt ihr mal
folgendes machen:

  *) einloggen in euer geraet

  *) nachsehen, ob ein Verzeichnis /etc/persistent/.mf/mother existiert.
  Wenn ja, stehen die Chancen gut, dass ihr davon betroffen seid.

  *) Hier auf der Liste (CC bitte: (spam-protected) ) mit uns koordinieren
  und Mechanismen finden, das ganze zu bereinigen. Ich vermute mal: neu
  flashen - mit einer nicht anfaelligen Version von AirOS.

Ich freue mich ueber ein befallenes Ubiquity image (bzw. alle malware
Dateien), damit man das "im Labor" in der CERT.at Arbeit genauer ansehen
kann.

--- snip ---

Hoffentlich koennen wir - mit eurere Hilfe und einem image - im CERT
bald was "offizielles" dazu sagen . Vor allem bzgl. Aussmasses des Vorfalls.


lg,
a.

PS: habt ihr das an die Grazer schon kommuniziert?
Dort wird echt viel AirOS verwendet.

Mehr Informationen über die Mailingliste Wien