Un ataque informático compromete la seguridad de millones de dispositivos Ubiquiti

Share this…

Los dispositivos de conexión son siempre los puntos de una red más vulnerables y atacados ya que, por lo general, suelen ser aquellos con los que primero se encuentran los piratas informáticos al intentar analizar una red. Para evitar posibles ataques informáticos que puedan comprometer nuestra seguridad, es recomendable actualizar el firmware de todos ellos a las versiones más recientes de manera que evitemos asó que una vulnerabilidad conocida pueda ser aprovechada para comprometer nuestra seguridad, tal como ha ocurrido el pasado viernes 13 con millones de equipos Ubiquiti a nivel mundial.

Desde el pasado viernes 13, y a lo largo de este fin de semana, se han detectado una serie de ataques informáticos masivos en los que los piratas informáticos buscaban hacerse con el control de dispositivos de red del fabricante Ubiquiti, principalmente contra usuarios españoles. Los atacantes han aprovechado una vulnerabilidad conocida desde hace más de un año con la que cualquier usuario no autorizado podía acceder sin necesidad de credenciales a los equipos con versiones anteriores a:

  • Airmax con firmware AiorOS 5.6.4(XM/XW) y Legacy 4.0.4(XS)
  • AirFiber con firmware AF24/AF24HD 2.2.1 o 3.2.
  • AirFiber con firmware AF5X 3.0.2.1+

Para aprovecharse de estas vulnerabilidades, los piratas informáticos crearon un virus el cual aprovechaba el fallo de seguridad en los módulos PHP y LightHttpd instalándose en los sistemas de forma remota y empezando a controlarlos desde allí. Una vez que el virus se instala en el sistema empieza a buscar otras IPs de otros dispositivos Ubiquiti (sin usar el servicio UBNT Discover) y poder seguir infectando a otros usuarios vulnerables.

Una vez pasadas 18 horas desde la infección, el virus se activa, resetea los valores de fábrica de los equipos y obliga a los dueños del mismo a desplazarse hasta ellos y volver a configurarlos de nuevo desde cero.

ubiquiti_network

Cómo proteger nuestros equipos Ubiquiti de estos ataques

Los piratas informáticos detrás de los ataques contra los equipos Ubiquiti se aprovechan de una serie de fallos de seguridad existentes en los sistemas desactualizados, por ello, la principal medida de protección que debemos llevar a cabo es instalar la última versión del firmware disponible.

Si nuestro equipo se ha visto infectado por el malware, aunque actualicemos, es posible que quede como proceso residual, por lo que debemos ejecutar el siguiente script que lo detecta y elimina de una sola pasada o ejecutar a mano los siguientes comandos para eliminarlo por completo:

cd /etc/persistent/ rm mf.tar rm rc.poststart rm -R .mf cfgmtd -p /etc/persistent/ -w reboot

También es recomendable bloquear todo acceso HTTP/HTTPS y las conexiones SSH a los equipos. Por último, si queremos estar al día de posibles soluciones o medidas de seguridad adicionales no debemos dejar de seguir el foro oficial de Ubiquiti.

Fuente:https://www.redeszone.net/