Ubiquiti Breach将无数基于云的设备造成收购风险

2021-04-01 20:46:37

Kresonsecurity据报道,网络设备制造商Ubiquiti一直覆盖了将客户硬件造成未经授权的访问风险的数据泄露的严重性,引用了公司内部的未命名举报人。

1月份,路由器,互联网连接的摄像机和其他联网设备的制造商披露它所说的是“未经授权访问我们第三方云提供商托管的某些信息技术系统”。通知表示,虽然没有证据,但入侵者访问用户数据,但该公司无法排除他们获得用户姓名,电子邮件地址,加密哈希密码,地址和电话号码的可能性。 Ubiquiti推荐用户更改密码并启用双因素身份验证。

周二的报告,来自众所周知的乌比提证券专业人士在2020年12月帮助公司的回应后,该专业人士在概括地提出回应了为期两年的漏洞。该个人表示,违规者比概括更糟糕,而且高管最大限度地减少了保护公司股票的严重程度价格。

突破性地提出了乌比提推动 - 如果不是基于基于云的账户,为用户设置和管理运行较新的固件版本的设备。这里的文章说,在初始设置的unifi梦想机(流行路由器和家庭网关设备)期间,将提示用户登录其基于云的帐户,或者如果他们还没有,则会创建一个帐户。

“您将使用此用户名和密码本地登录UDM上托管的UNIFI网络控制器,UDM管理设置UI,或通过Unifi网络门户(Https://network.unifi.ui.com)进行远程访问,“文章继续解释。乌比提客户抱怨要求和风险在此后续披露中的这种线程中对其设备的安全性构成。

据亚当说,布莱恩克里斯的虚假名称,KresOnsecurity的举报人,所处的数据比概括地点更广泛且敏感。 Krebs写道:

实际上,亚当说,攻击者在亚马逊的云服务中获得了乌比提的服务器的管理访问,该服务能够保护底层服务器硬件和软件,但需要云租户(客户端)来保护存储在那里的任何数据的访问。

“他们能够为单点登录cookie和远程访问,全源代码控制内容以及签名钥匙exfiltration的加密秘密,”亚当说。

亚当说,攻击者可以访问以前存储在Ubiquiti IT员工的LastPass帐户中的特权凭据,并获得了对所有Ubiquiti AWS帐户的root管理员访问,包括所有S3数据库,所有应用程序日志,所有数据库,所有用户数据库凭据和伪造单点登录(SSO)cookie所需的秘密。

这种访问可能允许入侵者远程验证世界各地基于无数基于云的云的设备。据其网站介绍,乌比提发布了超过8500万台设备,在全球200多个国家和地区的网络基础设施中发挥着关键作用。

ARS高级技术编辑Lee Hutchinson于2015年审查了Ubiquiti'在2015年和三年后再次审查了Ubiquiti'在这篇帖子去世后发表的声明中,概括地点说"由于我们在1月11日的通知以来,我们对我们对客户数据的分析和产品的安全进行了更改。"完整陈述是:

当我们在1月11日通知您时,我们是一个涉及未经授权访问我们的IT系统的网络安全事件的受害者。鉴于Brian Krebs的报告,在这件事上有新的兴趣和关注,我们想向我们的社区提供更多信息。

首先,请注意,由于我们在1月11日的通知以来,我们对客户数据分析和产品的安全性没有任何改变。根据这一事件,我们利用外部事件响应专家进行彻底调查以确保确保彻底调查攻击者被锁在我们的系统中。

这些专家确定了没有证据表明访问客户信息,甚至是目标。攻击者通过威胁要释放被盗的源代码和特定的IT凭据而无法释放公司,从未声称已访问任何客户信息。这与其他证据一起是为什么我们认为客户数据不是与事件相关的目标或以其他方式访问的目标。

此时,我们有很好的证据表明,肇事者是具有复杂知识的个人知识我们的云基础设施。正如我们在正在进行的调查中与执法合作,我们无法进一步发表评论。

所有这些都说,作为预防措施,我们仍然鼓励您更改密码,如果您还没有这样做,包括在您使用相同的用户ID或密码的任何网站上。如果您还没有这样做,我们还鼓励您在乌比提账户中启用双因素身份验证。

至少使用乌比提设备的人员应该更改他们的密码并启用两个因素身份验证,如果他们还没有这样做。鉴于侵入者进入乌比提的网络的可能性,为远程访问和签名键的单点登录cookie获得了秘密,也是删除与设备关联的任何配置文件也是一个好主意,确保设备使用最新的固件,然后重新创建具有新凭据的配置文件。与始终一样,除非它真正需要,否则应禁用远程访问,并由经验丰富的用户打开。

如果可以,我会在心跳中关闭UDM-Pro中的云远程访问。但是你可以' t。更新:事实证明你可以。如果添加本地管理员用户(讽刺地同步),然后在顶级级别,请关闭远程访问,控制器从在线门户中消失,您可以作为本地使用登录。我猜再次更改密码是明智的。它说你松散'转移所有者'能力。没有大量损失。