Ubiquiti All But Confirms Iniquity Response Iniquity – Krebs on Safety


Durante cuatro días la semana pasada, el gigante de World-wide-web de las cosas Ubiquiti no respondió a las solicitudes de comentarios sobre las acusaciones de un denunciante de que la compañía había minimizado enormemente una infracción «catastrófica» de dos meses que terminó en enero para salvar el precio de sus acciones, y que la insinuación de Ubiquiti de que un tercero period el culpable period una invención. Me complace agregar su eventual respuesta pública a la parte exceptional de la historia del martes sobre las afirmaciones del denunciante, pero su declaración merece una publicación propia porque en realidad confirma y refuerza esas afirmaciones.

El equipo de IoT de Ubiquiti incluye cosas como enrutadores WiFi, cámaras de seguridad y grabadoras de video clip en crimson. Sus productos han sido populares durante mucho tiempo entre los fanáticos de la seguridad y los tipos de bricolaje porque facilitan a los usuarios la construcción de sus propias redes internas de IoT sin gastar muchos miles de dólares.

Pero algo de ese brillo comenzó a desprenderse recientemente para los clientes más preocupados por la seguridad de Ubiquiti después de que la compañía comenzó a presionar a todos para que usaran una solución unificada de autenticación y acceso que dificulta la administración de estos dispositivos sin primero autenticarse en la infraestructura de nube de Ubiquiti.

De repente, las redes solo locales se estaban conectando a la nube de Ubiquiti, dando lugar a innumerables hilos de discusión en los foros de usuarios de Ubiquiti de clientes molestos por la posibilidad de introducir nuevos riesgos de seguridad.

Y el 11 de enero, Ubiquiti dio peso a esa angustia: les dijo a los clientes que restablecieran sus contraseñas y habilitaran la autenticación multifactor, diciendo que una violación que involucraba a un proveedor de nube externo podría haber expuesto los datos de la cuenta del usuario. Ubiquiti dijo a los clientes que «actualmente no tenían conocimiento de evidencia de acceso a ninguna base de datos que albergue datos de usuarios, pero no podemos estar seguros de que los datos de usuarios no hayan sido expuestos».

Aviso de Ubiquiti el 12 de enero de 2021.

El martes, KrebsOnSecurity informó que una fuente que participó en la respuesta a la violación dijo que Ubiquiti debería haber invalidado inmediatamente todas las credenciales porque todas las contraseñas de administrador de claves de la empresa también se habían visto comprometidas. El denunciante también dijo que Ubiquiti nunca mantuvo ningún registro de quién estaba accediendo a sus bases de datos.

El Denunciante, «Adán, ”Habló bajo condición de anonimato por temor a represalias de Ubiquiti. Adam dijo que el lugar donde esas credenciales de administrador clave se vieron comprometidas, la presencia de Ubiquiti en los servicios en la nube de Amazon World-wide-web Products and services (AWS), fue de hecho el «tercero» al que se culpó del ataque.

De la pieza del martes:

“En realidad, dijo Adam, los atacantes obtuvieron acceso administrativo a los servidores de Ubiquiti en el servicio en la nube de Amazon, que protege el components y program del servidor subyacente, pero requiere que el inquilino de la nube (cliente) asegure el acceso a los datos almacenados allí.

“Pudieron obtener secretos criptográficos para cookies de inicio de sesión único y acceso remoto, contenido de handle de código fuente completo y exfiltración de claves de firma”, dijo Adam.

Adam dice que los atacantes tuvieron acceso a credenciales privilegiadas que estaban almacenadas previamente en la cuenta de LastPass de un empleado de TI de Ubiquiti y obtuvieron acceso de administrador raíz a todas las cuentas de AWS de Ubiquiti, incluidos todos los depósitos de datos de S3, todos los registros de aplicaciones, todas las bases de datos, todas las credenciales de la foundation de datos de usuario y los secretos necesarios para falsificar las cookies de inicio de sesión único (SSO).

Dicho acceso podría haber permitido a los intrusos autenticarse de forma remota en innumerables dispositivos Ubiquiti basados ​​en la nube en todo el mundo. Según su sitio web, Ubiquiti ha enviado más de 85 millones de dispositivos que desempeñan un papel clave en la infraestructura de redes en más de 200 países y territorios en todo el mundo.

Ubiquiti finalmente respondió el 31 de marzo, en una publicación firmada como «IU del equipo» en el foro de la comunidad de la empresa en línea.

«Nada ha cambiado con respecto a nuestro análisis de los datos de los clientes y la seguridad de nuestros productos desde nuestra notificación el 11 de enero. En respuesta a este incidente, aprovechamos a expertos externos en respuesta a incidentes para realizar una investigación exhaustiva para asegurarnos de que el atacante no pudo acceder nuestros sistemas «.

“Estos expertos no identificaron evidencia de que se haya accedido a la información del cliente, o incluso que haya sido dirigida. El atacante, que intentó sin éxito extorsionar a la empresa amenazando con liberar el código fuente robado y las credenciales de TI específicas, nunca afirmó haber accedido a la información del cliente. Esto, junto con otras pruebas, es la razón por la que creemos que los datos de los clientes no fueron el objetivo del incidente ni se accedió de otro modo en relación con el incidente «.

La respuesta de Ubiquiti esta semana en su foro de usuarios.

Ubiquiti también insinuó que tenía una idea de quién estaba detrás del ataque, diciendo que tiene “evidencia bien desarrollada de que el perpetrador es un individuo con un conocimiento intrincado de nuestra infraestructura en la nube. Dado que estamos cooperando con las fuerzas del orden en una investigación en curso, no podemos comentar más «.

La declaración de Ubiquiti confirmó en gran medida el informe aquí al no refutar ninguno de los hechos planteados en el artículo. Y aunque puede parecer que Ubiquiti está cuestionando si los datos fueron realmente robados, Adam dijo que Ubiquiti puede decir que no hay evidencia de que se haya accedido a la información del cliente porque Ubiquiti no pudo mantener registros de quién estaba accediendo a sus bases de datos.

«Ubiquiti tuvo un registro negligente (sin registro de acceso en las bases de datos), por lo que no pudo probar o refutar lo que accedieron, pero el atacante apuntó las credenciales a las bases de datos y creó instancias de Linux con conectividad de crimson a dichas bases de datos», escribió Adam en un carta de denuncia de irregularidades a los reguladores de privacidad europeos el mes pasado. «Legal anuló las solicitudes repetidas para forzar la rotación de todas las credenciales de los clientes y para revertir cualquier cambio de permiso de acceso al dispositivo dentro del período relevante».

Parece que los inversores también notaron la incongruencia. El precio de las acciones de Ubiquiti apenas parpadeó ante la divulgación de la infracción de enero. Por el contrario, desde el 13 de enero hasta la historia del martes, sus acciones se habían disparado de $ 243 a $ 370. Al remaining del día de negociación 30 de marzo, UI había caído a $ 349. Al cierre de operaciones el jueves (los mercados estaban cerrados el viernes), la acción había caído a $ 289.



Enlace a la noticia authentic