ProArt Z490-CREATOR 10G
26 Marzo 2021Http/3
25 Maggio 2021Ubiquiti Gravissima Violazione della sicurezza.
Ubiquiti è uno dei principali fornitori di dispositivi IoT (Internet of Things) abilitati per il cloud come router, videoregistratori di rete e telecamere di sicurezza – ha rivelato che una violazione che coinvolgeva un provider cloud di terze parti aveva esposto le credenziali dell’account cliente. Ora una fonte che ha partecipato alla risposta a tale violazione sostiene che Ubiquiti ha drasticamente minimizzato un incidente “catastrofico” per ridurre al minimo il colpo al suo prezzo delle azioni e che l’affermazione del provider cloud di terze parti era una fabbricazione.
Un professionista della sicurezza di Ubiquiti che ha aiutato l’azienda a rispondere alla violazione di due mesi a partire da dicembre 2020 ha contattato KrebsOnSecurity dopo aver sollevato le sue preoccupazioni sia con la hot line whistleblower di Ubiquiti che con le autorità europee per la protezione dei dati. La fonte – lo chiameremo Adam – ha parlato a condizione di anonimato per paura di essere puniti da Ubiquiti.
“È stato catastroficamente peggiore di quanto riportato, e il legale ha messo a tacere e annullato gli sforzi per proteggere in modo decisivo i clienti”, ha scritto Adam in una lettera al Garante europeo della protezione dei dati. “La violazione è stata enorme, i dati dei clienti erano a rischio, l’accesso ai dispositivi dei clienti distribuiti nelle aziende e nelle case di tutto il mondo era a rischio.”
Ubiquiti non ha risposto alle ripetute richieste di commento.
Aggiornamento, 31 marzo, 18:58 .m. ET: In un post sul suo forum degli utenti, Ubiquiti ha detto che i suoi esperti di sicurezza non hanno identificato “alcuna prova che le informazioni sui clienti siano state accessibili, o addirittura mirate”. Ubiquiti può dirlo, dice Adam, perché non è riuscito a tenere registri di quali account stavano accedendo a tali dati. Ne sentiremo parlare di più da Adam tra un po’.
Storia originale:
Secondo Adam, gli hacker hanno ottenuto l’accesso completo in lettura /scrittura ai database Ubiquiti presso Amazon Web Services (AWS), che era la presunta “terza parte” coinvolta nella violazione. La divulgazione della violazione di Ubiquiti, ha scritto, è stata “minimizzata e volutamente scritta per implicare che un fornitore di cloud di terze parti era a rischio e che Ubiquiti era solo una vittima di ciò, invece del bersaglio dell’attacco”.
Nel suo avviso pubblico dell’11 gennaio, Ubiquiti ha dichiarato di essere a conoscenza di “accesso non autorizzato ad alcuni dei nostri sistemi informatici ospitati da un provider cloud di terze parti”, anche se ha rifiutato di nominare la terza parte.
In realtà, Adam ha detto, gli aggressori avevano ottenuto l’accesso amministrativo ai server di Ubiquiti presso il servizio cloud di Amazon, che protegge l’hardware e il software del server sottostante ma richiede al tenant (client) cloud di proteggere l’accesso a tutti i dati memorizzati lì.
“Sono stati in grado di ottenere segreti crittografici per i cookie Single Sign-On e l’accesso remoto, il contenuto completo del controllo del codice sorgente e l’esfiltrazione delle chiavi di firma”, ha detto Adam.
Adam afferma che gli aggressori avevano accesso a credenziali privilegiate precedentemente archiviate nell’account Last Pass di un dipendente IT Ubiquiti e hanno ottenuto l’accesso dell’amministratore radice a tutti gli account Ubiquiti AWS, inclusi tutti i bucket di dati S3, tutti i registri delle applicazioni, tutti i database, tutte le credenziali del database utente e i segreti necessari per creare cookie single sign-on (SSO).
Tale accesso avrebbe potuto permettere agli intrusi di autenticarsi in remoto su innumerevoli dispositivi basati su cloud Ubiquiti in tutto il mondo. Secondo il suo sito web, Ubiquiti ha spedito oltre 85 milioni di dispositivi che svolgono un ruolo chiave nell’infrastruttura di rete in oltre 200 paesi e territori in tutto il mondo.
Adam afferma che il team di sicurezza di Ubiquiti ha raccolto segnali alla fine di dicembre 2020 che qualcuno con accesso amministrativo aveva creato diverse macchine virtuali Linux che non erano state contabilizzate.
Poi hanno trovato una backdoor che un intruso aveva lasciato nel sistema.
Gli intrusi risposero inviando un messaggio dicendo che volevano 50 bitcoin (~ $ 2.8 milioni di USD) in cambio di una promessa di tacere sulla violazione.
Quando gli ingegneri della sicurezza hanno rimosso l’account backdoor nella prima settimana di gennaio, gli intrusi hanno risposto inviando un messaggio dicendo che volevano 50 bitcoin (~ $ 2,8 milioni di USD) in cambio di una promessa di tacere sulla violazione. Gli aggressori hanno anche fornito la prova di aver rubato il codice sorgente di Ubiquiti e si sono impegnati a rivelare la posizione di un’altra backdoor se la loro richiesta di riscatto fosse stata soddisfatta.
Ubiquiti non ha avuto rapporti con gli hacker, ha detto Adam, e alla fine il team di risposta agli incidenti ha trovato la seconda backdoor che gli estorsori avevano lasciato nel sistema. L’azienda passerebbe i prossimi giorni a ruotare furiosamente le credenziali per tutti i dipendenti, prima che Ubiquiti iniziasse a avvisare i clienti della necessità di reimpostare le password.
Ma sostiene che invece di chiedere ai clienti di cambiare le password al successivo accesso – come ha fatto l’azienda l’11 gennaio – Ubiquiti avrebbe dovuto immediatamente invalidare tutte le credenziali del suo cliente e forzare un reset su tutti gli account, principalmente perché gli intrusi avevano già le credenziali necessarie per accedere in remoto ai sistemi IoT dei clienti.
“Ubiquiti aveva una registrazione negligente (nessuna registrazione di accesso ai database), quindi non era in grado di dimostrare o confutare ciò a cui accedevano, ma l’utente malintenzionato ha indirizzato le credenziali ai database e ha creato istanze Linux con connettività di rete a tali database“, ha scritto Adam nella sua lettera. “Le richieste ripetute vengono sovrascritte per forzare la rotazione di tutte le credenziali del cliente e ripristinare eventuali modifiche all’autorizzazione di accesso al dispositivo entro il periodo pertinente.“
Se hai installato i dispositivi Ubiquiti e non hai ancora cambiato le password sui dispositivi dall’11 gennaio di quest’anno, ora sarebbe un buon momento per occuparti di questo.
Potrebbe anche essere una buona idea eliminare tutti i profili che hai avuto su questi dispositivi, assicurarti che siano aggiornati sull’ultimo firmware e quindi ri-creare quei profili con credenziali nuove [e preferibilmente uniche]. E prendi seriamente in considerazione la possibilità di disabilitare qualsiasi accesso remoto sui dispositivi.
Il prezzo delle azioni Ubiquiti è cresciuto notevolmente dalla divulgazione della violazione della società il 16 gennaio. Dopo un breve tuffo dopo la notizia, le azioni di Ubiquiti sono impennate da $ 243 a $ 13 a $ 370 ad oggi. Alla chiusura del mercato martedì, UI era scivolata a $ 349. Aggiornamento, 1 aprile: mercoledì il titolo Ubiquiti ha aperto in calo di quasi il 15 per cento; a partire da giovedì mattina era scambiato a $ 298.
