Różności i nowinki technologia

Naruszenie Ubiquiti naraża niezliczone urządzenia oparte na chmurze na ryzyko przejęcia

Stylizowany wizerunek rzędów kłódek.

Producent urządzeń sieciowych Ubiquiti ukrywa powagę naruszenia bezpieczeństwa danych, które naraża sprzęt klientów na ryzyko nieautoryzowanego dostępu, poinformował KrebsOnSecurity, powołując się na anonimowego demaskatora wewnątrz firmy.

W styczniu producent routerów, kamer podłączonych do Internetu i innych urządzeń sieciowych ujawnił, jak powiedział, „nieautoryzowany dostęp do niektórych naszych systemów informatycznych hostowanych przez zewnętrznego dostawcę usług w chmurze”. W zawiadomieniu stwierdzono, że chociaż nie było dowodów na to, że intruzi uzyskali dostęp do danych użytkownika, firma nie mogła wykluczyć możliwości uzyskania nazw użytkowników, adresów e-mail, zaszyfrowanych haseł, adresów i numerów telefonów. Użytkownicy rekomendowani przez Ubiquiti zmieniają swoje hasła i włączają uwierzytelnianie dwuskładnikowe.

Hasła urządzeń przechowywane w chmurze

We wtorkowym raporcie KrebsOnSecurity powołano się na specjalistę ds. Bezpieczeństwa z Ubiquiti, który pomógł firmie zareagować na dwumiesięczne naruszenie, które rozpoczęło się w grudniu 2020 r. Osoba ta powiedziała, że ​​naruszenie było znacznie gorsze, niż przyznaje Ubiquiti, a dyrektorzy minimalizują surowość ochrony akcji firmy Cena £.

Naruszenie ma miejsce, gdy Ubiquiti forsuje – jeśli nie wprost tego wymaga – konta w chmurze, aby użytkownicy mogli konfigurować i administrować urządzeniami z nowszymi wersjami oprogramowania układowego. Artykuł tutaj mówi, że podczas początkowej konfiguracji UniFi Dream Machine (popularnego routera i bramy domowej) użytkownicy zostaną poproszeni o zalogowanie się na swoje konto w chmurze lub, jeśli jeszcze go nie mają, o utworzenie konto.

„Będziesz używać tej nazwy użytkownika i hasła, aby logować się lokalnie do kontrolera sieci UniFi obsługiwanego przez UDM, UDM’s Management Settings UI lub przez UniFi Network Portal (https://network.unifi.ui.com) dla Remote Dostęp ”, wyjaśnia artykuł. Klienci Ubiquiti narzekają na wymóg i ryzyko, jakie stwarza dla bezpieczeństwa ich urządzeń w tym wątku, który nastąpił po styczniowym ujawnieniu.

Fałszowanie plików cookie uwierzytelniających

Według Adama, fikcyjnego nazwiska, które Krebs nadał informatorowi, dane, do których uzyskano dostęp, były znacznie obszerniejsze i bardziej wrażliwe niż przedstawiane przez Ubiquiti. Krebs napisał:

W rzeczywistości, powiedział Adam, napastnicy uzyskali dostęp administracyjny do serwerów Ubiquiti w usłudze chmury Amazon, która zabezpiecza sprzęt i oprogramowanie serwera, ale wymaga od dzierżawcy chmury (klienta) zabezpieczenia dostępu do wszelkich przechowywanych tam danych.

„Udało im się uzyskać tajemnice kryptograficzne dla plików cookie jednokrotnego logowania i zdalnego dostępu, pełną kontrolę kodu źródłowego i eksfiltrację kluczy do podpisywania” – powiedział Adam.

Adam mówi, że atakujący miał dostęp do uprzywilejowanych danych uwierzytelniających, które były wcześniej przechowywane na koncie LastPass pracownika IT Ubiquiti, i uzyskał dostęp administratora root do wszystkich kont Ubiquiti AWS, w tym do wszystkich zasobników danych S3, wszystkich dzienników aplikacji, wszystkich baz danych, wszystkie poświadczenia bazy danych użytkowników i wpisy tajne wymagane do sfałszowania plików cookie jednokrotnego logowania (SSO).

Taki dostęp mógłby umożliwić intruzom zdalne uwierzytelnienie na niezliczonych urządzeniach opartych na chmurze Ubiquiti na całym świecie. Według jej strony internetowej, Ubiquiti dostarczyło ponad 85 milionów urządzeń, które odgrywają kluczową rolę w infrastrukturze sieciowej w ponad 200 krajach i terytoriach na całym świecie.

Przedstawiciele Ubiquiti nie odpowiedzieli na liczne prośby o komentarz, które przesłał Krebs. Przedstawiciele nie odpowiedzieli jeszcze na osobną prośbę, którą wysłałem w środę rano.

Co najmniej osoby korzystające z urządzeń Ubiquiti powinny zmienić swoje hasła i włączyć uwierzytelnianie dwuskładnikowe, jeśli jeszcze tego nie zrobiły. Biorąc pod uwagę możliwość, że intruzi do sieci Ubiquiti uzyskali tajne pliki cookie logowania jednokrotnego do zdalnego dostępu i kluczy podpisu, dobrym pomysłem jest również usunięcie wszelkich profili powiązanych z urządzeniem, upewnienie się, że urządzenie korzysta z najnowszego oprogramowania układowego, a następnie ponowne utworzenie profile z nowymi poświadczeniami. Jak zawsze, dostęp zdalny powinien być wyłączony, chyba że jest naprawdę potrzebny i został włączony przez doświadczonego użytkownika.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook