[atnog] Ubiquiti AirOS/AirMax Worm / DNS Flooding

L. Aaron Kaplan kaplan at cert.at
Wed May 18 11:28:45 CEST 2016 

On 2016/05/18 08:05, Otmar Lendl <lendl at cert.at> wrote:
> 
> Werte Liste,
> 
> wir bekamen Berichte, dass ein Wurm (also sich selber weiterverbreitende
> Malware) unterwegs ist, die eine Schwachstelle in älteren Version von
> AirOS (von Ubiquiti Access Points) ausnutzt.
> 
> Die ersten korrigierten Versionen sind:
> 


Ergaenzend kann ich hinzufuegen, dass man recht einfach erkennen kann, ob 
ein System verwundbar ist:

 1. scannen auf port 443 und das ssl client certificate holen.

sudo ./bin/masscan --capture cert --rate 1000 -p 443 -vv -oG 443.grepable.txt --banners --range 1.2.3.0/24


 2. vergleichen des certificates mit dem bekannt schwachen von UBNT

grep "MIICrTCCAhYCCQC6Ffdh27eytz" 443.grepable.txt | awk '// { print $2; }' 



Achtung: der string oben ist selbstverstaendlich nichd das ganze verwundbare certificate (PEM) , sondern nur ein Teil davon.
Aber es kann mal ein erster Hinweis sein.

Hoffe, diese Info hilft.

Mfg,
L. Aaron Kaplan
CERT.at


> 5.5.11 XM/TI
> 5.5.10u2 XW
> 5.6.2 XW/XM/TI
> 
> Siehe dazu
> 
> http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940
> 
> und
> 
> https://hackerone.com/reports/73491
> 
> Im Zuge der Weiterverbreitung generiert der Wurmcode massenhaft (eine
> Quelle spricht von 5000 qps) DNS Lookup in der Art von:
> 
> > 16-May-2016 16:47:47.467 client 8X.1X0.3Y.40#44968: query: 323.016.231.212 IN AAAA + (8X.1X0.Y.Y)
> > 16-May-2016 16:47:47.467 client 8X.1X0.3Y.40#38600: query: 235.326.031.064 IN AAAA + (8X.1X0.Y.Y)
> > 16-May-2016 16:47:47.467 client 8X.1X0.3Y.40#51399: query: 331.206.372.214 IN AAAA + (8X.1X0.Y.Y)
> 
> Siehe https://lists.isc.org/pipermail/bind-users/2016-May/096861.html
> 
> Das mag schon wie ein DoS auf den Recursor wirken.
> 
> mfg,
> 
> Otmar Lendl
> -- 
> // Otmar Lendl <lendl at cert.at> - T: +43 1 5056416 711
> // CERT Austria - http://www.cert.at/
> // Eine Initiative der nic.at GmbH - http://www.nic.at/
> // Firmenbuchnummer 172568b, LG Salzburg
> 
> 
> 




> _______________________________________________
> atnog mailing list
> atnog at atnog.at
> http://atnog.at/mailman/listinfo/atnog

More information about the atnog mailing list