Estamos desbordados ayudando a clientes que se han visto afectados por dicho ataque a antenas Ubiquiti y en estos momentos hay grandes problemas, a nivel mundial, de conectividad en universidades, edificios públicos y redes privadas, ya sean de largo o corto alcance.
Hace algo mas de un año se conoció que que las versiones anteriores a AirOs 5.6.1 y los legacy 4.0.3 sufrían de una vulnerabilidad que permitía al atacante acceder al equipo sin necesidad de credenciales de usuario y contraseña. Esto fue solventado en una revisión de seguridad (5.6.2) pero ha aparecido un virus que explota una vulnerabilidad de PHP, instalándose en el sistema y descargando un ejecutable de CURL desde downloads.openwrt.org. Una vez descargado, el propio virus genera un archivo mf.tar en /etc/persistent y un script de arranque en rc.poststart. Dicho malware escanea IPs sin usar UBNT Discover para localizar nuevos huéspedes dónde reproducirse y se queda en stand-by durante, aprox, 20 horas. Tras ese hito de 20 horas, resetea los equipos a valores de fábrica, por lo que el equipo se desconecta de la red y se pierde acceso a él, siendo imprescindible configurarlo nuevamente desde cero.
Solucionar la vulnerabilidad de Ubiquiti
Ahora que ya hemos sido víctimas del problema, vamso a solucionarlo.
Existe un hilo oficial, en el portal de Ubiquiti, dónde hay toneladas de información: http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940
Se ha creado un script que se puede descargar en esta cuenta de Github para escanear y limpiar la infección: https://github.com/diegocanton/remove_ubnt_mf/
Nos han pasado, también, este script que escanea y limpia el virus.
También se puede limpiar a mano la infección de la siguiente manera:
cd /etc/persistent/ rm mf.tar rm rc.poststart rm -R .mf cfgmtd -p /etc/persistent/ -w reboot
Otra forma de soluciona el problema es contactar con el departamento WiFi de Ideo Networks para que lo solucionen con diligencia y garantía.
