Purtroppo si sta diffondendo in fretta un virus che si auto-propaga sulle varie CPE Ubiquiti con firmware 5.5.x. Sfrutta una vulnerabilità che bypassa le credenziali di accesso. Una volta installato fa un discovery e prova a auto-propagarsi, infine resetta la CPE.

La discussione è sempre nel vivo e la potete seguire in questo URL  http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940/highlight/false

Ad ora Ubiquiti si è solo pronunciata dicendo di aggiornare il firmware alla versione 5.6.4, di controllare che non ci siano custom script e resettare la password.

L’unico tallone di achille è che il virus ha bisogno di scaricare il CURL per fare richieste alle altre CPE, e lo va a cercare nell’host downloads.openwrt.org (che consiglio vivamente di bloccare)

Ecco lo script (che spero di tenere aggiornato visto che è stato realizzato dalla community) per “disinfettare” una CPE con il virus

cd /etc/persistent
rm -R mcuser
rm -R .mf
rm *
sed -n ‘/mother/!p’ /etc/passwd > /etc/passwd.new
mv /etc/passwd.new /etc/passwd
cfgmtd -w -p /etc/
killall -9 search
killall -9 mother
killall -9 sleep
reboot

Dopo Heartbleed e Shellshock è arrivata una nuova falla: POODLE (Padding Oracle On Downgraded Legaxy Encryption). La vulnerabilità sfrutta l’ormai vecchio protocollo SSLv3 che è sempre usato da moltissimi vecchi browser. Infatti basta lanciare un attacco man-in-the-middle per decifrare i cookie, i quali possono anche contenere informazioni delicate, e adoperare i dati così ottenuti per accedere ai servizi online che ne fanno uso. Sul sito di openssl è riportato un documento che spiega meglio il problema: https://www.openssl.org/~bodo/ssl-poodle.pdf

Ecco un workaround per prevenire l’attacco su Apache in Debian:

aprire il file nano /etc/apache2/sites-available/default-ssl

dopo l’istruzione SSLEngine on inserire

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGC$
SSLHonorCipherOrder on
SSLCompression off