La violación de Ubiquiti pone en riesgo de adquisición a innumerables dispositivos basados ​​en la nube

Imagen estilizada de filas de candados.

El fabricante de dispositivos de red Ubiquiti ha estado encubriendo la gravedad de una violación de datos que pone el hardware de los clientes en riesgo de acceso no autorizado, KrebsOnSecurity ha informó, citando a un denunciante anónimo dentro de la empresa.

En enero, el fabricante de enrutadores, cámaras conectadas a Internet y otros dispositivos en red, divulgado lo que decía era “acceso no autorizado a algunos de nuestros sistemas de tecnología de la información alojados por un proveedor de nube externo”. El aviso decía que, si bien no había evidencia de que los intrusos accedieran a los datos del usuario, la compañía no podía descartar la posibilidad de que obtuvieran los nombres de los usuarios, direcciones de correo electrónico, contraseñas, direcciones y números de teléfono con hash criptográficos. Ubiquiti recomendó a los usuarios que cambien sus contraseñas y habiliten la autenticación de dos factores.

Contraseñas de dispositivos almacenadas en la nube

El informe del martes de KrebsOnSecurity citó a un profesional de seguridad de Ubiquiti que ayudó a la compañía a responder a la infracción de dos meses a partir de diciembre de 2020. El individuo dijo que la infracción fue mucho peor de lo que Ubiquiti dejó ver y que los ejecutivos estaban minimizando la gravedad para proteger las acciones de la empresa. precio.

La brecha se produce cuando Ubiquiti está impulsando, si no requiriendo directamente, cuentas basadas en la nube para que los usuarios configuren y administren dispositivos que ejecutan versiones de firmware más recientes. Un artículo aquí dice que durante la configuración inicial de un UniFi Dream Machine (un enrutador popular y un dispositivo de puerta de enlace doméstica), se les pedirá a los usuarios que inicien sesión en su cuenta bas ada en la nube o, si aún no tienen una, que creen una cuenta.

“Utilizará este nombre de usuario y contraseña para iniciar sesión localmente en el controlador de red UniFi alojado en el UDM, la interfaz de usuario de configuración de administración del UDM o mediante el portal de red UniFi (https://network.unifi.ui.com) para control remoto Acceso ”, continúa explicando el artículo. Los clientes de Ubiquiti se quejan del requisito y el riesgo que representa para la seguridad de sus dispositivos en este hilo

que siguió a la divulgación de enero.

Falsificación de cookies de autenticación

Según Adam, el nombre ficticio que Brian Krebs de KrebsOnSecurity le dio al denunciante, los datos a los que se accedió eran mucho más extensos y sensibles de lo que ubiquiti retrató. Krebs escribió:

En realidad, dijo Adam, los atacantes obtuvieron acceso administrativo a los servidores de Ubiquiti en el servicio en la nube de Amazon, que protege el hardware y software del servidor subyacente, pero requiere que el inquilino de la nube (cliente) asegure el acceso a los datos almacenados allí.

“Pudieron obtener secretos criptográficos para cookies de inicio de sesión único y acceso remoto, contenido de control de código fuente completo y exfiltración de claves de firma”, dijo Adam.

Adam dice que los atacantes tuvieron acceso a credenciales privilegiadas que estaban almacenadas previamente en la cuenta de LastPass de un empleado de TI de Ubiquiti y obtuvieron acceso de administrador raíz a todas las cuentas de AWS de Ubiquiti, incluidos todos los depósitos de datos de S3, todos los registros de aplicaciones, todas las bases de datos, todas las credenciales de la base de datos de usuario y los secretos necesarios para falsificar las cookies de inicio de sesión único (SSO).

Dicho acceso podría haber permitido a los intrusos autenticarse de forma remota en innumerables dispositivos Ubiquiti basados ​​en la nube en todo el mundo. Según su sitio web, Ubiquiti ha enviado más de 85 millones de dispositivos que desempeñan un papel clave en la infraestructura de redes en más de 200 países y territorios en todo el mundo.

El editor senior de tecnología de Ars, Lee Hutchinson, revisó la línea UniFi de dispositivos inalámbricos de Ubiquiti en 2015 y nuevamente tres años después.

en un declaración publicado después de que esta publicación se publicó, Ubiquiti dijo que “nada ha cambiado con respecto a nuestro análisis de los datos de los clientes y la seguridad de nuestros productos desde nuestra notificación el 11 de enero”. La declaración completa es:

Como les informamos el 11 de enero, fuimos víctimas de un incidente de ciberseguridad que involucró acceso no autorizado a nuestros sistemas de TI. Dado el informe de Brian Krebs, existe un nuevo interés y atención en este asunto, y nos gustaría brindar a nuestra comunidad más información.

Al principio, tenga en cuenta que nada ha cambiado con respecto a nuestro análisis de los datos de los clientes y la seguridad de nuestros productos desde nuestra notificación el 11 de enero. En respuesta a este incidente, aprovechamos a expertos externos en respuesta a incidentes para realizar una investigación exhaustiva para garantizar el atacante fue bloqueado fuera de nuestros sistemas.

Estos expertos no identificaron evidencia de que se haya accedido a la información del cliente, o incluso que haya sido dirigida. El atacante, que intentó sin éxito extorsionar a la empresa amenazando con liberar el código fuente robado y las credenciales de TI específicas, nunca afirmó haber accedido a la información del cliente. Esto, junto con otras pruebas, es la razón por la que creemos que los datos de los clientes no fueron el objetivo del incidente ni se accedió a él en relación con el incidente.

En este punto, tenemos evidencia bien desarrollada de que el perpetrador es un individuo con un conocimiento intrincado de nuestra infraestructura en la nube. Como estamos cooperando con las fuerzas del orden en una investigación en curso, no podemos comentar más.

Dicho todo esto, como medida de precaución, le recomendamos que cambie su contraseña si aún no lo ha hecho, incluso en cualquier sitio web en el que utilice la misma identificación de usuario o contraseña. También le recomendamos que habilite la autenticación de dos factores en sus cuentas de Ubiquiti si aún no lo ha hecho.

Como mínimo, las personas que usan dispositivos Ubiquiti deben cambiar sus contraseñas y habilitar la autenticación de dos factores si aún no lo han hecho. Dada la posibilidad de que los intrusos en la red de Ubiquiti obtengan secretos para las cookies de inicio de sesión único para el acceso remoto y las claves de firma, también es una buena idea eliminar cualquier perfil asociado con un dispositivo, asegurarse de que el dispositivo esté usando el firmware más reciente y luego volver a crear perfiles con nuevas credenciales. Como siempre, el acceso remoto debe desactivarse a menos que sea realmente necesario y lo active un usuario experimentado.

Publicación actualizada para agregar comentarios de Ubiquiti.

Leave a Reply

Your email address will not be published. Required fields are marked *