Ač patří UBNT mezi laciné ... tak zrovna jejich routery (AirRouter i EdgeRouter) patří mezi ty nejvýkonnější, v segmentu <1Gbit/s samozřejmě. Kdyby to nezabili rukama (u AR odchází porty, u ER zase flash - nemluvě o tom, že tam je filesystém co nemá moc rád výpadky), tak není důvod mít něco jiného.
Mimochodem virus napadá všechno, co má systém AirOS v problematických verzích. Tedy i třeba ten AirRouter.
Nejspíš nemusí mlžit. Ten DDOS útok nejspíš procházel všechny porty na jejich veřejném rozsahu IP a když našel nějaké zranitelné zařízení tak ho infikoval. No a holt měli asi něco co mělo interface jak na veřejné síti tak dovnitř. Jejich blbost samozřejmě, ale bohužel u našich providerů celkem normální věc.
> Tato zranitelnost by měla být opravena ve firmware verzi 5.6.5.
Pro produkty rady Airmax M je opravena jiz v 5.6.2. (5.6.5 navic disabluje user scripty, coz muze a nemusi byt zadouci), resp 5.5.11, resp. 5.5.10-u2, v zavislosti na boardu.
Firmaware Airmax AC chybu neobsahuje od firmwaru 7.1.3 (vcetne).
AirFibery 24 neobsahuji chybu od 2.2.1 (vcetne), AirFibery 5x od 3.0.2.1 (vcetne).
Nezbyva nez konstatovat, ze jste vazne "profik". Ono totiz se prihlasit na stanici urcenou pro management je strasny problem ... staci k tomu totiz streba ssh, ze. A funguje to zcela odkudkoli, pricemz zaroven pri pouziti klicu i velice bezpecne.
Striktne oddeleny managemnet bych pak ocekaval prave proto, ze velmi casto ani nelze udrzovat aktualni firmware. A to se tyka zcela vseobecne vsech zarizeni, vcetne cisco. Pomerne bezne totiz novy firmware rozbiji pouzivanou funcionalitu.
Naopak, s tim ze zabezpeceni managementu je derave se pocita vzdy a vsude.
Nu, oddělovat management koncových domácích routerů od internetového provozu u normálních wifistů bych nečekal (tam po zkušenostech spíše čekám, že domácí router má otevřen management na WAN a bez hesla nebo s default heslem, je přece za NATem) a ani nedělal (pomíjím chytřejší krabičky s TR-069 na samostatné VLANě a podobné, což je spíše až doména DOCSIS/FTTH sítí).
Ale mít oddělenou vlastní infrastrukturu od zákazníků není od věci a pokud by to tak bylo, tak sice napadnou koncové routery doma, pokud jsou na veřejkách (nebo za NAT1:1), ale nepadne mi na tom moje infrastruktura.
Jistě, ta používaná technika od Mikrotiku nebo UBQT s tímto modelem moc nepočítá a dosáhnout uspokojivě toho stavu je slušná pruda...
A není to v tomto případě o tom, že řeší svoji vnitřní wifinu a požadují UniFi (který není zde řešenou chybou postihnutelný), protože mají na to mají jejich kontrolér a spravují je centrálně, tak si nechtějí nasadit další systém? V tom případě apsoň můžu být rád, že zvolili něco relativně levného. Asi mohli napsat, že krabička musí být managovatelná přes UBQT javovský kontrolér. :-) Inu, Mikrotik (a řady dalších) se svým CAPsMANem přišel do low cost oblasti moc pozdě, ten aspoň umí ve verzi v1 řídit i krabičky jiných výrobců, pokud podporiují LWP.
Vím, že staré firmwary a VLANy jsou neslučitelné pojmy.
Nicméně jde ta ochrana dělat i jinak, než jen oddělením vysloveně do VLAN.
Např mám model, že UBQT jsou jen rádiové bridge a mezi nima jsou drátové routery na Mikrotikách, na routerech nejblíže k zákazníkům je firewall, který nedovolí na prvky sítě nic jiného, než ping. Pokud jdu někam a hrozí, že budu potřebovat lézti přímo, tak si na daném routeru firewall předem deaktivuji (ať už z kanclu nebo se do kanclu spojím odkudkoliv VPNkou, klidně od zákazníka přes jeho linku nebo mobilní připojení, a z ní pak se se dostanu kam potřebuji). Těch technik je vícero. Ale uznávám, že vše je o trochu práce navíc.
Zrovna chyba, že může selhat ověření beru u low costu už za standard.
Že bych to měl nějak řešit říká obecně i ZoEK v části bezpečnost a integrita veřejných komunikačních sítí. Ale je pravda, že ČTU nevydal nikdy příslušný minimální standard (aka síťový plán), takže to je o obecné rovině, ale i tak může na neštastníky poštvat bezpečnostní audit za peníze daného neštastníka. Vím, každý na to kašle, stejně jako asi ani nedodrží, že při větším výpadku z důvodů jak je to popsáno mám povinnost informovat ČTU (ale asi si opět ještě nestihl vydat vyhlášku o tom jak a v jakém rozsahu, takže bude mít smolík). V tomhle směur zanou časem kopat kolem sebe až NKCB, až se zacvičí a získají na sebedůvěře, zatím se spíše plaše rozhlíželi a uili, ale začínají už vystrkovat růžky, tak uvidíme, kdy to přeztaví do legaslativy...
Mne např. fascinuje, jak DOKOLA už poslední dva roky několik významných ministerstech v CR poptává ZASADNE na elektronických tržištích pouze systémy Ubiq ++!!!
dle mého názoru jejich zadání (konkrétní model, pro který nemohou nalézt oporu ve smyslu "nic jiného by ve spolupráci s ním nefungovalo") hraničí s obtrukcí a nerespektováním zákona o zadávání výběrových řízení.. ale kdo by měl čas na to se s nim před obvodním soudem pro Prahu 1 soudit dva roky, než se to dostane k ústnímu jednání + očekávané odvolání ze ZVULE STATNI MOCI (kterou to nic nestojí, neboť náš všechny podojí pro jakékholiv admin úkony z daní + před měsícem ani neschválili JAKKOUKOLIV odpovědnost státního šm-ejda úředníka za jeho admin pochybení).. tak jakou máte možnost vůbec uspět?? a když uspějete - tak jako co? kdo se to vůbec dozví? noviny o tom informovat nebudou, protože jsou zkoupené buď babišem nebo jinými.. toto je dočista Boj s větrnými mlýny Don Quijote de la Mancha :/
Upřimně řečeno, myslím, že naprostá většina menších wifi ISP neprovozuje nic na styl oddělené management sítě od uživatelského provozu (vycházím ze zkušenosit z řady sítí, do kterých vidím). Ono je to pohodlné, že přijdu k zákazníkovi a dostanu se na jakýkoliv svůj prvek snadno a poladím napřímo co potřebuji...
A pak na takový útok stačí, aby měl koncový zákazník doma router na AirOS s veřejkou na WAN portu (např AirRouter) s neblokovaným přístupem zvenčí na porty 80/443 a už jde tato krabička zvenku infikovat, pokud má správný firmware, pak už naskenuje tento AirRouter zvnitřku infrastrukturu a napadne....
Takže ve "výhodě" u tohoto červa jsou "pseudoISP", co nemají veřejné IPv4 adresy, aby je dávali koncovým zákazníkům. :-)
M-SOFT dle info řeší "DDOS" útok, takže mlží. Jinak problém je v síťařině. Proč by měly mít UBNT jednotky veřejnou IP adresu? Jak to, že nejsou pod MGMT VID? Jak se možné, že je MGMT interface dostupný z rozsahu routovaných dat uživatele? Prostě vidím problém spíš v designu sítě. Kdyby na začátku byla segmentace a komunikační vrstvy správně designované, pak by to mohl napadnout leda technik dané firmy...
Ano, to máš pravdu ... definovat management síť je otrava, jen to obtěžuje a často člověk ani neví, že mu to nefunguje jen proto, že tam prostě nemá přístup. Není to úplně správné, ale je to prostě tak.
Oddělit management u koncáků v těch případech ani jednoduše nejde. Nejde tam totiž naklikat firewall na input ... musí se to scriptovat. A VLAN je pro koncového uživatele nemožné použít. A pro technika následně také, neskutečné otravování s něčím, co by to umělo a mohl se tam připojit.
No a pak stačí, aby bylo na síti stovky potenciálně nakazitelných zařízení a o zábavu je postaráno, když stačí jedno jediné s veřejnou IP.
A teď si do toho zahrň, že staré firmwary vůbec neumožňovaly vlany ... nemáš to jak oddělit naprosto vůbec. No a spousta míst tak prostě zůstala. Proč se hrabat v něčem, co funguje.
Já to, že to není od věci nepopírám ... Jen tvrdím, že je to takový opruz i z hlediska prostého používání, že se to moc nedělá. Není to jen o tom, že se tam rozumně nedostanu od klienta, ale ani z jiných míst. V korporátu je možná definovaná kultura, kanceláře, VPNky ... ale v našem malém prostředí člověk sedí prostě pokaždé jinde, u jiných počítačů, atp. Ve výsledku tak často potřebuje přístup "z blízka", že by si za přeomezenou VLAN prostě nakopal.
Takže se s tím musí žít ... Obejití autentifikace managementu je prostě fail, co nesmí vzniknout už u výrobce. S tím se nepočítá.
Za prvé se za profíka nepovažuji ... a za druhé nejde ani tak o mě, jako spíš o cestující techniky, kteří (co si budeme nalhávat ...) jsou líní a pokud něco není na jeden klik, tak řvou.
Nemluvě o těch historických souvislostech, kde se nikomu prostě síť předělávat nechce.
A ač nejsem profík, tak moje síť nelehla. Ač jednu nákazu měla a upgradovali jsme asi 700 zařízení.
A to, že někdo sleduje, případně znemožňuje, anonymní pohyb po webech s křesťanskou tématikou jste už někdo zaznamenali?
Vím, asi vás tu moc věřích nebude...
Ale kromě WinTips jsem na problém zatím narazil vždy jen u uvedených webů. Anonymizérům pracujícím s headerem je zablokován přístup zcela. Web proxy servery jsou schopny pracovat, ale jakmile zahodí Referer tak také nejsou schopny pokračovat v načítání webů.
Jednoznačně to vidím tak, že někdo chce mít informaci odkud a kam a nebo žádný přístup. Je to velmi nezdravé, pokud mohu posoudit dost selektivní, a děsí mne to.
Spíše než na virus si tipuji na Bilderberger a tajné služby. Máme se bát toho co může následovat? Teď? Jindy?
Problém jsem prvně zaznamenal kolem půlnoci ze 17 na 18. května 2016.