Sobre el nuevo fallo de seguridad de AirOS

Mal día para una noticia así: recién acabo de llegar de viaje, bastante cansado y me encuentro con semejante follón a estas horas… Un nuevo fallo de seguridad en dispositivos con sistema operativo AirOS de Ubiquiti es vulnerable a un ataque, a través de una simple URL.

La verdad es que suena feo, mucho, y no es para menos: ya hace varios meses que hubo un problema de seguridad que también tuvo un gran alcance y una tremenda repercusión internacional, afectando a muchos WISP a lo largo y ancho del planeta, por lo que cualquier noticia relacionada con la seguridad de Ubiquiti es, cuanto menos, de obligado análisis.

Los hechos

Un grupo de investigadores australianos detectan un problema de seguridad y  lo reportan a Ubiquiti para que tome medidas. Esto ocurre en Noviembre del año pasado. A partir de ahí ocurren una serie de comunicaciones que, por algún motivo, acaba mal y la empresa de seguridad cumple con lo anunciado y revela la existencia del problema de seguridad (puedes seguir la historia al detalle en este enlace).

Lo que ocurre a continuación es lo normal: una avalancha de noticias sobre esto, algunas bastante radicales y sobre todo, sensacionalistas (si chicos, estoy defendiendo a mi fabricante favorito y no voy a disculparme por ello). Lo de sensacionalistas lo digo porque usaban frases como “dejar de usar productos de ubiquiti inmediatamente“, lo cual me parece no sólo exagerado, sino falto de perspectiva.

Retomando el asunto, el fallo de seguridad existe, si bien no entraña un peligro de alcance masivo como los anteriores Skynet, Pim Pam Pum o el más reciente Moth3r Fuck3r, ya que requiere además intervención por parte del usuario:  Es necesario que el cliente que usa el equipo Ubiquiti cargue un sitio web malicioso, diseñado especialmente para este ataque o bien, que siga un enlace recibido por correo electrónico. 

Una versión antigua de PHP

A parte de no tomar las medidas adecuadas, parte del problema viene de una versión de PHP que data de 1997, por lo que todas las medidas de seguridad incluidas en PHP durante estos 20 años, no están incluídas en esa versión, convirtiéndolo por defecto en una versión muy insegura.

UBIQUITI Ya conoce el problema

El Foro de ubiquiti (https://community.ubnt.com) está bastante movidito y el mismísimo Robert Pera ya se ha manifestado a razón de este problema:

Pero el hilo (disponible aquí) contiene más información interesante:

He rebuscado en info sobre el problema de PHP de 1997 y resulta francamente sencillo conseguir ejecutar comandos desde la URL:
Ejecución de un simple IWCONFIG

Por motivos obvios no vamos a indicar cuál es el parámetro a pasar a pingtest_action.cgi, pero si a mi me ha costado unos minutos dar con la clave y no soy ningún experto en seguridad, seguro que investigando por vuestra cuenta podréis llegar a la misma conclusión que yo.

PHISHING

La cuestión importante aquí es que el cliente debe tener acceso como administrador al dispositivo de Ubiquiti, el navegador web debe recordar la contraseña y además hacer click en la URL formada a tal efecto.

En resumen

En cualquier caso, hay un par de cosas que todos debemos haber tomado en consideración tras los últimos problemas de seguridad:

1º NUNCA permitir el acceso al CPE desde Internet.
2º NUNCA permitir el acceso al CPE desde el lado del cliente, o al menos, tomar medidas para impedirlo.
3º Cambiar los puertos por defecto de TODOS los equipos siempre ayudará ante ataques automatizados.
4º Usad VLANs para administrar los equipos de vuestra red.
5º Mantener actualizado el Firmware y atento al foro oficial para detectar este tipo de nuevas amenazas.

En estos momentos ya están disponibles las versiones parcheadas, 6.0.1 para la serie M y 8.0.1 para la serie AC, disponibles en https://www.ubnt.com/download/

En mi humilde opinión, el nivel de exposición es bajo y dudo que se convierta en un problema masivo con la anterior ocasión. No obstante, la seguridad no deja de ser un problema que Ubiquiti debe atajar de forma urgente para futuras versiones.

[ACTUALIZACIÓN 18 Marzo 2017]

Ya están disponibles las actualizaciones para todos los equipos, es decir, los dispositivos AirGateway, ToughtSwitch y AirFiber

AirOS v8.0.1 — already available since Feb 3, 2017 (release notes here)
AirOS v6.0.1 —  released today (release notes here)
AirGateway v1.1.8 – Service release —released today (release notes here)
TOUGHSwitch v.1.3.4 – Service — released today (release notes here)
AirFiber v3.2.2 and v3.4.1 – released today (release notes here)

 

Entradas relacionadas