Incumplimiento «catastrófico» de Ubiquiti – Krebs on Safety


El 11 de enero Ubiquiti Inc. (NYSE: UI), un importante proveedor de dispositivos de World wide web de las cosas (IoT) habilitados para la nube, como enrutadores, grabadoras de video en purple y cámaras de seguridad, reveló que una violación que involucró a un proveedor de nube externo había expuesto las credenciales de la cuenta del cliente. Ahora, una fuente que participó en la respuesta a esa violación alega que Ubiquiti restó importancia a un incidente «catastrófico» para minimizar el impacto en el precio de sus acciones, y que la afirmación del proveedor de nube de terceros era una invención.

Un profesional de seguridad de Ubiquiti que ayudó a la empresa a responder a la infracción de dos meses a partir de diciembre de 2020 se puso en contacto con KrebsOnSecurity después de plantear sus inquietudes tanto a la línea directa de denuncia de irregularidades de Ubiquiti como a las autoridades europeas de protección de datos. La fuente: lo llamaremos Adán – habló bajo condición de anonimato por temor a represalias por parte de Ubiquiti.

«Fue catastróficamente peor de lo que se informó, y los esfuerzos legales silenciaron y anularon los esfuerzos para proteger de manera decisiva a los clientes», escribió Adam en una carta al Supervisor Europeo de Protección de Datos. «La violación fue masiva, los datos de los clientes estaban en riesgo, el acceso a los dispositivos de los clientes implementados en corporaciones y hogares de todo el mundo estaba en riesgo».

Ubiquiti no ha respondido a las repetidas solicitudes de comentarios.

Según Adam, los piratas informáticos obtuvieron acceso completo de lectura / escritura a las bases de datos de Ubiquiti en Servicios net de Amazon (AWS), que era el supuesto «tercero» involucrado en la infracción. La divulgación de la infracción de Ubiquiti, escribió, fue «minimizada y escrita a propósito para implicar que un proveedor de nube externo estaba en riesgo y que Ubiquiti fue simplemente una víctima de eso, en lugar del objetivo del ataque».

En su aviso público del 11 de enero, Ubiquiti dijo que se dio cuenta de «acceso no autorizado a algunos de nuestros sistemas de tecnología de la información alojados por un proveedor de nube externo», aunque se negó a nombrar al tercero.

En realidad, dijo Adam, los atacantes obtuvieron acceso administrativo a los servidores de Ubiquiti en el servicio en la nube de Amazon, que protege el components y software del servidor subyacente, pero requiere que el inquilino de la nube (cliente) asegure el acceso a los datos almacenados allí.

“Pudieron obtener secretos criptográficos para cookies de inicio de sesión único y acceso remoto, contenido de control de código fuente completo y exfiltración de claves de firma”, dijo Adam.

Adam dice que los atacantes tenían acceso a credenciales privilegiadas que estaban almacenadas previamente en el Ultimo pase cuenta de un empleado de TI de Ubiquiti y obtuvo acceso de administrador raíz a todas las cuentas de AWS de Ubiquiti, incluidos todos los depósitos de datos de S3, todos los registros de aplicaciones, todas las bases de datos, todas las credenciales de la base de datos de usuario y los secretos necesarios para falsificar las cookies de inicio de sesión único (SSO).

Dicho acceso podría haber permitido a los intrusos autenticarse de forma remota en innumerables dispositivos Ubiquiti basados ​​en la nube en todo el mundo. Según su sitio web, Ubiquiti ha enviado más de 85 millones de dispositivos que desempeñan un papel clave en la infraestructura de redes en más de 200 países y territorios en todo el mundo.

Adam dice que el equipo de seguridad de Ubiquiti detectó señales a fines de diciembre de 2020 de que alguien con acceso administrativo había configurado varias máquinas virtuales Linux que no se contabilizaron.

Luego encontraron una puerta trasera que un intruso había dejado en el sistema.

Cuando los ingenieros de seguridad eliminaron la cuenta de puerta trasera en la primera semana de enero, los intrusos respondieron enviando un mensaje diciendo que querían 50 bitcoins (~ $ 2.8 millones de dólares) a cambio de una promesa de permanecer callados sobre la violación. Los atacantes también proporcionaron pruebas de que habían robado el código fuente de Ubiquiti y se comprometieron a revelar la ubicación de otra puerta trasera si se cumplía con su solicitud de rescate.

Ubiquiti no se involucró con los piratas informáticos, dijo Adam, y finalmente el equipo de respuesta a incidentes encontró la segunda puerta trasera que los extorsionistas habían dejado en el sistema. La compañía pasaría los próximos días rotando furiosamente las credenciales de todos los empleados, antes de que Ubiquiti comenzara a alertar a los clientes sobre la necesidad de restablecer sus contraseñas.

Pero sostiene que en lugar de pedir a los clientes que cambien sus contraseñas la próxima vez que inicien sesión, como lo hizo la compañía el 11 de enero, Ubiquiti debería haber invalidado inmediatamente todas las credenciales de sus clientes y forzar un reinicio en todas las cuentas, principalmente porque los intrusos ya tenía las credenciales necesarias para acceder de forma remota a los sistemas de IoT de los clientes.

«Ubiquiti tuvo un registro negligente (sin registro de acceso en las bases de datos), por lo que no pudo probar o refutar lo que accedieron, pero el atacante apuntó las credenciales a las bases de datos y creó instancias de Linux con conectividad de crimson a dichas bases de datos», escribió Adam en su letra. «Authorized anuló las solicitudes repetidas para forzar la rotación de todas las credenciales de los clientes y para revertir cualquier cambio de permiso de acceso al dispositivo dentro del período relevante».

Si tiene dispositivos Ubiquiti instalados y aún no ha cambiado las contraseñas de los dispositivos desde el 11 de enero de este año, ahora sería un buen momento para ocuparse de eso.

También podría ser una buena plan eliminar los perfiles que tenía en estos dispositivos, asegurarse de que estén actualizados con el firmware más reciente y luego volver a crear esos perfiles con credenciales nuevas (y preferiblemente únicas). Y considere seriamente deshabilitar cualquier acceso remoto en los dispositivos.

El precio de las acciones de Ubiquiti ha crecido notablemente desde la divulgación de incumplimiento de la compañía el 16 de enero. Después de una breve caída después de la noticia, las acciones de Ubiquiti han aumentado de $ 243 el 13 de enero a $ 370 a partir de hoy.


Etiquetas: Violación de Ubiquiti, Ubiquiti Inc., Ubiquiti Networks

Esta entrada se publicó el martes 30 de marzo de 2021 a las 2:00 p.m. y está archivada bajo A Very little Sunshine, Info Breaches.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first