Сериозен безбедносен пропуст кај Ubiquiti, компромитирани кориснички податоци и уреди

Една од најголемите компании за производство на мрежен хардвер, Ubiquiti, на 11ти јануари годинава изјави дека е заеблежан неовластен пристап до извесни системи кои се хостирани кај познат cloud provider. Во истата изјава, од компанијата тврдат дека корисничките податоци не се компромитирани, но сепак ги советуваат нивните корисници да ги сменат лозинките, и да активираат 2FA каде што е тоа можно. Со оглед на тоа дека компанијата има продадено преку 85 милиони уреди, ова и не е мала работа.

Но, од извори што всушност работеле на поправање на пропустот уште од декември минатата година дознаваме дека работите всушност биле многу посериозни отколку што Ubiquiti изјавија. Не само што напаѓачите имале пристап до серверите, туку и до податоци за корисници, како и до нивните уреди кои се во употреба ширум светот.

Cloud provider-от за кој се работи е AWS, или Amazon Web Services, каде што се хостирани бројни бази со податоци на компанијата. Од изјавата на Ubiquiti се чини дека самата компанија воопшто не била мета на нападот, туку дека самите сервери, како и AWS сервисот, се нападнати. Како што вели изворот, иако од Ubiquiti тврдат дека немало обид за пристап до корисничките податоци, всушност проблемот е што од Ubiquiti воопшто не успеале да следат кој сé всушност пристапувал до тие податоци.

Главниот проблем е што напаѓачите добиле административен пристап до серверите на Ubiquiti хостирани на клауд сервисот на Амазон, до тоа ниво што имале пристап до податоци за најава на корисниците, како и делови од кодот кој го користи Ubiquiti. Според изворот, напаѓачите добиле пристап до податоци за најава кои биле зачувани во LastPass датабазата од извесен вработен на Ubiquiti. Ваквиот пристап овозможува корисниците да се поврзат на скоро било кој уред од Ubiquiti кој е cloud-based.

Изворот исто така вели дека безбедносниот тим на Ubiquiti Уште во декември приметил дека некој со административен пристап има креирано неколку Linux виртуелни машини кои никој не може да ги објасни. Покај тоа, пронашле и backdoor кој напаѓачот го оставил во системот. При отстранувањето на тој backdoor, напаѓачите испратиле порака со барање – 50 биткоини, во вредност од 2.8 милиони долари, за да го премолчат целиот напад, како и да кажат каде се наоѓа вториот backdoor.

Откако тимот на Ubiquiti ги изигнорирал, во рок од неколку дена бил пронајден и вториот backdoor. Податоците за најава на сите вработени биле сменети, за подоцна Ubiquiti да излезат со изјавата од 11ти јануари, дека корисниците треба да ги сменат своите лозинки.

Иако според некои ова е доволно како решение, стои фактот дека од компанијата имаа можност веднаш да ги поништат лозинките, и да ги примораат корисниците да направат нови. Со оглед на тоа дека напаѓачите веќе имале пристап до системите, ова би била побезбедна солуција.

Како што вели изворот, од компанијата воопшто немале логови за тоа кој пристапува до базите со податоци, но бидејќи напаѓачот успеал да им пристапи, како и да креира виртуелни машини поврзани до базите, се чини дека компанијата целата работа ја сфатила недоволно сериозно.

Доколку и вие користите хардвер од Ubiquiti, препорачливо е да ги промените лозинките. Уште поубава идеја би било целосно да ги избришете профилите на уредот, и да креирате нови, користејќи податоци за најава кои не сте ги користеле претходно.  

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии