El fabricante de dispositivos de red Ubiquiti ha estado encubriendo la gravedad de una violación de datos que pone al hardware de los clientes en riesgo de acceso no autorizado, informó KrebsOnSecurity, citando a un denunciante anónimo dentro de la empresa.
En enero, el fabricante de enrutadores, cámaras conectadas a Internet y otros dispositivos en red, reveló lo que dijo era “acceso no autorizado a algunos de nuestros sistemas de tecnología de la información alojados por un proveedor de nube externo”. El aviso decía que, si bien no había evidencia de que los intrusos accedieran a los datos de los usuarios, la compañía no podía descartar la posibilidad de que obtuvieran los nombres de los usuarios, direcciones de correo electrónico, contraseñas codificadas criptográficamente, direcciones y números de teléfono. Ubiquiti recomendó a los usuarios que cambien sus contraseñas y habiliten la autenticación de dos factores.
Contraseñas de dispositivos almacenadas en la nube
El informe del martes de KrebsOnSecurity citó a un profesional de seguridad de Ubiquiti que ayudó a la empresa a responder a la filtración de dos meses a partir de diciembre de 2023. La persona dijo que la filtración fue mucho peor de lo que Ubiquiti dejó entrever y que los ejecutivos estaban minimizando la gravedad para proteger las acciones de la empresa. precio.
La brecha se produce cuando Ubiquiti está impulsando, si no exigiendo, cuentas basadas en la nube para que los usuarios configuren y administren dispositivos que ejecutan versiones de firmware más nuevas. Un artículo aquí dice que durante la configuración inicial de UniFi Dream Machine (un enrutador popular y un dispositivo de puerta de enlace para el hogar), se les pedirá a los usuarios que inicien sesión en su cuenta basada en la nube o, si aún no tienen una, que creen una cuenta.
“Usará este nombre de usuario y contraseña para iniciar sesión localmente en el controlador de red UniFi alojado en el UDM, la interfaz de usuario de configuración de administración del UDM o a través del portal de red UniFi (https://network.unifi.ui.com) para Remote Acceso”, continúa explicando el artículo. Los clientes de Ubiquiti se quejan del requisito y el riesgo que representa para la seguridad de sus dispositivos en este hilo que siguió a la divulgación de enero.
Falsificación de cookies de autenticación
Según Adam, el nombre ficticio que Brian Krebs de KrebsOnSecurity le dio al denunciante, los datos a los que se accedió fueron mucho más extensos y sensibles de lo que retrató Ubiquiti. krebs escribió:
En realidad, dijo Adam, los atacantes habían obtenido acceso administrativo a los servidores de Ubiquiti en el servicio en la nube de Amazon, que protege el hardware y el software del servidor subyacente, pero requiere que el arrendatario de la nube (cliente) asegure el acceso a los datos almacenados allí.
“Pudieron obtener secretos criptográficos para cookies de inicio de sesión único y acceso remoto, contenidos completos de control de código fuente y exfiltración de claves de firma”, dijo Adam.
Adam dice que los atacantes tenían acceso a credenciales privilegiadas que se almacenaron previamente en la cuenta de LastPass de un empleado de TI de Ubiquiti y obtuvieron acceso de administrador raíz a todas las cuentas de Ubiquiti AWS, incluidos todos los depósitos de datos S3, todos los registros de aplicaciones, todas las bases de datos, todas las credenciales de la base de datos del usuario y los secretos necesarios para falsificar cookies de inicio de sesión único (SSO).
Dicho acceso podría haber permitido a los intrusos autenticarse de forma remota en innumerables dispositivos basados en la nube de Ubiquiti en todo el mundo. Según su sitio web, Ubiquiti ha enviado más de 85 millones de dispositivos que desempeñan un papel clave en la infraestructura de redes en más de 200 países y territorios en todo el mundo.
El editor sénior de tecnología de Ars, Lee Hutchinson, revisó la línea UniFi de dispositivos inalámbricos de Ubiquiti en 2023 y nuevamente tres años después.
En un comunicado emitido después de la publicación de esta publicación, Ubiquiti dijo que “nada ha cambiado con respecto a nuestro análisis de los datos de los clientes y la seguridad de nuestros productos desde nuestra notificación el 11 de enero”. La declaración completa es:
Como les informamos el 11 de enero, fuimos víctimas de un incidente de ciberseguridad que implicó el acceso no autorizado a nuestros sistemas de TI. Dado el informe de Brian Krebs, hay un nuevo interés y atención en este asunto, y nos gustaría brindarle a nuestra comunidad más información.
Al principio, tenga en cuenta que nada ha cambiado con respecto a nuestro análisis de los datos de los clientes y la seguridad de nuestros productos desde nuestra notificación el 11 de enero. En respuesta a este incidente, aprovechamos a los expertos externos en respuesta a incidentes para realizar una investigación exhaustiva para garantizar el atacante fue bloqueado de nuestros sistemas.
Estos expertos no identificaron evidencia de que se haya accedido a la información del cliente, o incluso que haya sido atacada. El atacante, que intentó sin éxito extorsionar a la empresa amenazando con liberar el código fuente robado y credenciales de TI específicas, nunca afirmó haber accedido a la información de ningún cliente. Esta, junto con otras pruebas, es la razón por la que creemos que los datos del cliente no fueron el objetivo del incidente ni se accedió a ellos en relación con el mismo.
En este punto, tenemos evidencia bien desarrollada de que el perpetrador es un individuo con un conocimiento complejo de nuestra infraestructura en la nube. Como estamos cooperando con las fuerzas del orden público en una investigación en curso, no podemos hacer más comentarios.
Dicho todo esto, como precaución, le recomendamos que cambie su contraseña si aún no lo ha hecho, incluso en cualquier sitio web en el que utilice la misma identificación de usuario o contraseña. También lo alentamos a habilitar la autenticación de dos factores en sus cuentas de Ubiquiti si aún no lo ha hecho.
Como mínimo, las personas que usan dispositivos Ubiquiti deben cambiar sus contraseñas y habilitar la autenticación de dos factores si aún no lo han hecho. Dada la posibilidad de que los intrusos en la red de Ubiquiti obtuvieran secretos para cookies de inicio de sesión único para acceso remoto y claves de firma, también es una buena idea eliminar cualquier perfil asociado con un dispositivo, asegurarse de que el dispositivo esté utilizando el firmware más reciente y luego volver a crear perfiles con nuevas credenciales. Como siempre, el acceso remoto debe desactivarse a menos que sea realmente necesario y lo active un usuario experimentado.
Publicación actualizada para agregar comentarios de Ubiquiti.