On Mon, May 16, 2016 at 01:47:25PM +0200, David Hopfmueller wrote: > On 05/16/2016 10:48 AM, Stefan Schultheis (home) wrote: > > [Re-post; sorry, ging vorhin an die falsche Liste] > > Hi, > > >ich hab' mal meine Erkenntnisse und Vorschläge zur raschen Lösung hier > >zusammengefasst: > >https://stefan.schultheis.at/2016/ubiquiti-airos-hack-funkfeuer/ > > Wow, ein Drittel des Netzes ist offline?! Ich wusste nicht, dass das > derartige Ausmaße angenommen hat. Danke für Eure Beiträge, Bernhard, > Chris, Erich und Stefan!
Ja, auch zuerst mal ein grosses DANKE von mir an Bernhard, Chris , Erich und Stefan. > > Mich wundert, dass es zu dem Thema nicht mehr Traffic auf dieser > Liste gibt. Da müssen doch einige zig Leute betroffen sein. Ist das > großteils unbemerkt geblieben, kommuniziert ihr offline, leidet in > Stille, …? Ich denke, das ist einfach das verlaengerter Wochenende. Guter Zeitpunkt fuer einen Wurm. Wir werden das auch im CERT so schnell als moeglich ansehen. Es gibt da sicher eine Menge UBNT AirOS Geraete da draussen im Feld. > > Wir sollten jedenfalls für die Zukunft eine Lösung finden. Der > Vorfall ist ein weiteres Argument gegen Black-Box-Devices wie die > Ubnt-Bridges. Und ein deutlicher Reminder, uns als Community um eine > Update-Strategie und ein Sicherheitskonzept zu kümmern. ACK!!! War gerade dabei, eine Mail an die Listen zu schreiben , aber eure Mails waren vor meiner. Hier sind meine Vorschlaege: --- snip --- Erich und Bernhard haben mich dankenswerter weise auf einen sogenannten "Wurm" [1] fuer Ubiquity devices aufmerksam gemacht. Das duerfte nach meinem aktuellen Wissensstand unser Funkfeuer Netz durchaus stark beschaedigt haben (ca. 25% der Geraete koennten oder sind infiziert). Wir werden uns das in der Arbeit (CERT) genauer mal ansehen und nach Moeglichkeit herausfinden, wie viel vom Interent bzw. oesterreichischem Internet davon befallen ist. In der Zwischenzeit koennt ihr mal folgendes machen: *) einloggen in euer geraet *) nachsehen, ob ein Verzeichnis /etc/persistent/.mf/mother existiert. Wenn ja, stehen die Chancen gut, dass ihr davon betroffen seid. *) Hier auf der Liste (CC bitte: [email protected] ) mit uns koordinieren und Mechanismen finden, das ganze zu bereinigen. Ich vermute mal: neu flashen - mit einer nicht anfaelligen Version von AirOS. Ich freue mich ueber ein befallenes Ubiquity image (bzw. alle malware Dateien), damit man das "im Labor" in der CERT.at Arbeit genauer ansehen kann. --- snip --- Hoffentlich koennen wir - mit eurere Hilfe und einem image - im CERT bald was "offizielles" dazu sagen . Vor allem bzgl. Aussmasses des Vorfalls. lg, a. PS: habt ihr das an die Grazer schon kommuniziert? Dort wird echt viel AirOS verwendet. -- Wien mailing list [email protected] https://lists.funkfeuer.at/mailman/listinfo/wien
