Den Kollegen in Wien sind wohl mehrere AirOS-Geräte »logisch entwendet« worden, sprich: gehackt.
So richtig viel Info steht noch nicht zur Verfügung, aber ggf. als »heads up!«, und sei es nur, die eigenen Desaster-Recovery-Prozeduren zu überdenken, hier die wichtigsten Zeilen aus dem Blogpost:
Am 13. +14. Mai 2016 wurde eine Sicherheitslücke (vmtl. im Webserver) der Ubiquiti Airmax Antennen mit AirOS Software ausgenutzt. Die Gesamtzahl der Standorte ist von etwa 230 aktiven Knoten auf knapp mehr als 150 Nodes zurückgegangen, die unmittelbar nach der Attacke noch online waren. Mittlerweile geht die Zahl zum Glück wieder nach oben.
Aus jetziger Sicht platziert der Hack einige Dateien unter /etc/persistent. Außerdem werden die Login-Daten überschrieben und SSH-Keys installiert, mit denen ein Hacker von außen weiterhin auf die Antenne zugreifen kann.
Sollten Spuren des Hacks auf einer Antenne auftauchen, ist es jedenfalls empfehlenswert, per TFTP ein Image neu zu laden und die Antenne neu zu konfigurieren. Die Vorschläge weiter unten in diesem Text sind eher als Sofortmaßnahme gedacht, um die Antennen rasch wieder online zu bekommen. […]
Details zum Hack
Details findet ihr im Forum von Ubiquiti Networks. Aktuell beginnen auch erste Händler entsprechende Hinweise zu posten:
- https://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940
- http://www.sincables.net/2016/05/ataque-masivo-a-equipos-ubiquiti/
- https://lists.funkfeuer.at/pipermail/wien/2016-May/012223.html
[…]
Wir setzen z. Zt. selbst keine AirOS-Geräte mit orginaler Firmware ein, aber gerade für Richtfunkstrecken im 5-GHz-Bereich wird ja gerne auf transparente AirOS-Bridges zurückgegriffen — insofern: Obacht!