Voipminic Blog » Bugs http://blog.voipminic.com Asterisk y telefonia IP Wed, 04 Jan 2012 16:12:42 +0000 http://wordpress.org/?v=2.9.2 en hourly 1 Vulnerabilidad en los equipos de Ubiquiti Networks http://blog.voipminic.com/2011/12/vulnerabilidad-en-los-equipos-de-ubiquiti-networks/ http://blog.voipminic.com/2011/12/vulnerabilidad-en-los-equipos-de-ubiquiti-networks/#comments Tue, 20 Dec 2011 14:29:23 +0000 Joan http://blog.voipminic.com/?p=379 Se ha detectado una vulnerabilidad en los equipos de Ubiquiti Networks (Nanostation, Loco, Bullet, Nanobridge, Powerbridge, Powerstation, Picostation, etc…) con las siguientes versiones de firmware:

Productos 802.11  – AirOS v3.6.1/v4.0 (las versiones previas no están afectadas)
Productos AirMax – AirOS v5.x (todas las versiones)

Esta vulnerabilidad permite el acceso al equipo sin password y la instalación de un virus denominado Skynet que se instala en la máquina Ubiquiti y comienza a enviar mensajes en el tráfico generado a través del puerto :80 (http://), redireccionando dicho tráfico a determinadas páginas web y saturando la memoria del equipo inalámbrico, lo que ocasiona reinicios inexperados.

Las máquinas más expuestas son aquellas instaladas en redes con acceso público (Estaciones Base y CPE).

¿Cómo es el virus?

El virus es un script Linux que se instala en un directorio oculto y tras un reinicio del equipo, comienza a actuar.

¿Cómo detectar si el equipo Ubiquiti está infectado?

Intente abrir la página http://w.x.y.x/admin.cgi (donde w.x.y.z es la dirección IP del equipo Ubiquiti)

Si la página no se abre, el equipo ha sido infectado, ya que el virus la renombra como adm.cgi

¿Cómo proceder si mi equipo NO está infectado?

Actualice inmediatamente la versión de firmware de sus equipos Ubiquiti, puede descargar las versiones firmware que han eliminado la vulnerabilidad en la siguiente dirección:

http://ubnt.com/support/downloads

¿Cómo proceder si mi equipo SI está infectado?

Existen tres opciones:

1) Ubiquiti se ha comprometido a lanzar antes de 24 horas, una herramienta para eliminar el virus de una forma fácil y rápida.
2) Resetear el equipo a “Valores de Fábrica”.
3) Eliminar el script Skynet manualmente siguiendo las instrucciones que detallamos a continuación:

Acceder al equipo mediante SSH y ejecutar los siguientes comandos:


rm /etc/persistent/rc.poststart
rm -rf .skynet
save
reboot

Una vez quitado el script skynet (virus) mediante el procedimiento descrito, renombre el fichero adm.cgi a admin.cgi y proceda a actualizar la versión de firmware a la última versión disponible para el equipo en la siguiente dirección:

http://ubnt.com/support/downloads

Puede encontrar más información en el foro de Ubqiuiti:

http://www.ubnt.com/forum/showthread.php?t=45169

Share/Save]]> http://blog.voipminic.com/2011/12/vulnerabilidad-en-los-equipos-de-ubiquiti-networks/feed/ 1 Alerta roja: Caos con las vulnerabilidades en las PBX cerradas http://blog.voipminic.com/2008/06/alerta-roja-caos-con-las-vulnerabilidades-en-las-pbx-cerradas/ http://blog.voipminic.com/2008/06/alerta-roja-caos-con-las-vulnerabilidades-en-las-pbx-cerradas/#comments Sun, 29 Jun 2008 14:12:15 +0000 Joan http://blog.voipminic.com/?p=26 “Los clientes de las soluciones de Voz sobre IP (VoIP) de Avaya, Cisco y Nortel han sido alertados por unas vulnerabilidades que podrían conllevar la ejecución de código remoto, accesos no autorizados, denegación de servicio y recolección de información. Estos errores han sido encontrados por los Laboratorios VoIPshield y dados a conocer rápidamente a los tres fabricantes con el fin de que tuvieran tiempo suficiente para desarrollar los parches necesarios, según Rick Dalmazzi, presidente y CEO de VoIPshield, quien, no obstante, no ha querido facilitar más detalles dado que su compañía y los tres fabricantes afectados acordaron realizar un anuncio conjunto.”

“Eso sí, este responsable confirmaba que al menos dos de los tres nombres afectados tienen ya desarrollados los parches que solucionan estas vulnerabilidades y que el tercero de ellos (que no dicen cual es) lo tendrá en breve. Según Dalmazzi, se eligió a Avaya, Cisco y Nortel para hacer estas pruebas de vulnerabilidad porque representan la mayor parte de las ventas de centralitas IP en el mercado estadounidense. No obstante, anuncia que en las próximas pruebas se incluirá también a Microsoft, cuyos resultados estarán disponibles en unos cuatro meses, aproximadamente.”

Cuando alguien lee una noticia como esta, la mayoría piensa que pueden ser simples errores que se corrigen rápidamente y no tienen mayor repercusión, pero cuando vemos que una vulnerabilidad de este tipo que el usuario NO PUEDE solucionar por su cuenta (al ser código cerrado) y de hecho debe tener contratado un mantenimiento (en función del tamaño de la infraestructura) para tener “derecho” a actualizaciones, el problema se vuelve mucho más grave.

Dentro de 4 meses, se publicarán las vulnerabilidades del sistemas de comunicaciones de Microsoft. Las típicas centralitas basadas en Windows que, además de las posibles vulnerabilidades que se pueden llegar a encontrar (provocadas generalmente por errores en la programación, o falta de pruebas), se le añade otros que multiplican por 1000 los factores de riesgos, como son el contagio de un virus, troyanos, o simples gusanos que detecte el sistema de comunicaciones y se dedique a hacer llamadas sin parar a números 906 por las noches (por desgracia ya hay varias pruebas de virus de este tipo circulando por internet) lo que puede llegar a ser la ruina completa para una pequeña empresa.

Sin duda, malas noticias.

VIA: www.sinologic.net

Share/Save]]> http://blog.voipminic.com/2008/06/alerta-roja-caos-con-las-vulnerabilidades-en-las-pbx-cerradas/feed/ 0