Imagen estilizada de filas de candados.

El fabricante de dispositivos de red Ubiquiti ha encubierto la gravedad de una violación de datos que expone el hardware de los clientes a un acceso no autorizado, informó KrebsOnSecurity, citando a un denunciante no revelado de la empresa.

En enero, el fabricante de enrutadores, cámaras conectadas a Internet y otros dispositivos en red anunció que se trataba de «acceso no autorizado a algunos de nuestros sistemas de tecnología de la información alojados por un proveedor de nube externo». El aviso decía que, si bien no había evidencia de que los intrusos hubieran accedido a los datos del usuario, la compañía no podía descartar que hubieran obtenido nombres de usuario, direcciones de correo electrónico, contraseñas, direcciones y números de teléfono con hash criptográfico. Los usuarios recomendados por Ubiquiti cambiarán sus contraseñas y habilitarán la autenticación de dos factores.

Contraseñas de dispositivos almacenadas en la nube

El informe de KrebsOnSecurity del martes citó a un experto en seguridad de Ubiquiti que ayudó a la compañía a responder a la brecha de dos meses a partir de diciembre de 2020. La persona dijo que la violación fue mucho peor de lo que declaró Ubiquiti y que los ejecutivos habían minimizado la gravedad para proteger las acciones de la compañía en Price.

La violación ocurre cuando Ubiquiti está impulsando cuentas basadas en la nube para que los usuarios configuren y administren dispositivos con versiones de firmware más nuevas, si no se requieren directamente. Un artículo afirma que cuando los usuarios configuran por primera vez una máquina UniFi Dream (un enrutador popular y un dispositivo de puerta de enlace doméstica), se les pide que inicien sesión en su cuenta basada en la nube o, si aún no tienen una, creen una. .

«Con este nombre de usuario y contraseña, inicia sesión localmente en el controlador de red UniFi que está alojado en el UDM, la interfaz de usuario para la configuración de administración del UDM oa través del portal de red UniFi (https://network.unifi.ui.com ) para uso remoto se convierte en acceso ”, continúa el artículo. Los clientes de Ubiquiti se quejan en este hilo después de su lanzamiento en enero sobre los requisitos y el riesgo que representan para la seguridad de sus dispositivos.

Cookies de autenticación falsas

Según Adam, el nombre ficticio que Brian Krebs de KrebsOnSecurity le dio al denunciante, los datos a los que se accedió eran mucho más grandes y más sensibles que los representados por Ubiquiti. Krebs escribió:

En realidad, según Adam, los atacantes habrían obtenido acceso de administrador a los servidores de Ubiquiti a través del servicio en la nube de Amazon, que protege el hardware y software del servidor subyacente, pero el inquilino de la nube (cliente) tiene acceso a los datos almacenados allí que debe proteger.

«Ha podido obtener secretos criptográficos para cookies de inicio de sesión único y acceso remoto, control total del código fuente y exfiltración de claves de firma», dijo Adam.

Según Adam, los atacantes tenían acceso a credenciales privilegiadas almacenadas previamente en la cuenta LastPass de un profesional de TI de Ubiquiti y se les dio acceso de administrador raíz a todas las cuentas de AWS de Ubiquiti, incluidos todos los depósitos de datos de S3, todos los registros de aplicaciones y todas las bases de datos. Toda la información de inicio de sesión y los secretos de la base de datos del usuario necesarios para falsificar las cookies de inicio de sesión único (SSO).

Dicho acceso podría haber permitido a los intrusos autenticarse de forma remota en innumerables dispositivos Ubiquiti basados ​​en la nube en todo el mundo. Según su sitio web, Ubiquiti ha enviado más de 85 millones de dispositivos que son clave para la infraestructura de red en más de 200 países y territorios en todo el mundo.

Lee Hutchinson, editor senior de tecnología de Ars, revisó la línea de dispositivos inalámbricos UniFi de Ubiquiti en 2015 y nuevamente tres años después.

En un comunicado emitido después de la publicación de esta publicación, Ubiquiti dijo: «Desde nuestra notificación el 11 de enero, nuestro análisis de los datos de los clientes y la seguridad de nuestros productos no ha cambiado». La declaración completa dice:

Como te contamos el 11 de enero, fuimos víctima de un incidente de ciberseguridad que resultó en un acceso no autorizado a nuestros sistemas informáticos. Dada la cobertura de Brian Krebs, existe un nuevo interés y atención sobre el asunto y nos gustaría agregar más información a nuestra comunidad.

Tenga en cuenta al principio que nada ha cambiado en nuestro análisis de los datos de los clientes y la seguridad de nuestros productos desde nuestra notificación el 11 de enero. En respuesta a este incidente, contratamos a expertos externos en respuesta a incidentes para llevar a cabo una investigación exhaustiva y asegurarnos de que el atacante no pudo acceder a nuestros sistemas.

Estos expertos no identificaron ninguna evidencia de que se haya accedido o utilizado la información del cliente de manera específica. El atacante, que intentó sin éxito chantajear a la empresa amenazando con liberar el código fuente robado y ciertas credenciales de TI, nunca afirmó haber accedido a la información del cliente. Esto, junto con otras pruebas, es la razón por la que creemos que los datos del cliente no fueron el objetivo del incidente o se accedió de otra manera en relación con el incidente.

En este punto, tenemos evidencia bien desarrollada de que el perpetrador es una persona que tiene un amplio conocimiento de nuestra infraestructura en la nube. Dado que estamos trabajando con las fuerzas del orden público en una investigación en curso, no podemos proporcionar más comentarios.

No obstante, como medida de precaución, le recomendamos que cambie su contraseña si aún no lo ha hecho, incluso en sitios web en los que utilice el mismo nombre de usuario o contraseña. También le recomendamos que habilite la autenticación de dos factores para sus cuentas de Ubiquiti, si aún no lo ha hecho.

Los usuarios de dispositivos Ubiquiti deberían al menos cambiar sus contraseñas y habilitar la autenticación de dos factores si aún no lo han hecho. Dada la posibilidad de que los intrusos en la red de Ubiquiti hayan obtenido secretos para las cookies de inicio de sesión único para el acceso remoto y las claves de firma, también es una buena idea eliminar todos los perfiles asociados con un dispositivo, asegúrese de que el dispositivo tenga el último firmware utilizado. y luego vuelva a crear perfiles con nuevas credenciales. Como siempre, el acceso remoto debe deshabilitarse a menos que sea realmente necesario y habilitado por un usuario experimentado.

Publicación actualizada para agregar comentarios de Ubiquiti.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí