Ubiquiti acusado de encubrir una violación de datos “catastrófica”

El 11 de Enero, Ubiquiti, un importante proveedor de dispositivos de Internet de las cosas (IoT) habilitados para la nube, como enrutadores, grabadoras de video en red y cámaras de seguridad.

Reveló que una violación que involucraba a un proveedor de nube externo había expuesto las credenciales de sus cuentas de clientes.

Una fuente que participó en la respuesta a esa violación alega que Ubiquiti restó importancia a un incidente “catastrófico” para minimizar el impacto en el precio de sus acciones.

Un profesional de seguridad de Ubiquiti que ayudó a la empresa a responder a la infracción de seguridad, se puso en contacto con KrebsOnSecurity.

La fuente, que habla bajo condición de anonimato por temor a represalias por parte de Ubiquiti, declaró.

“Fue catastróficamente peor de lo que se informó y los esfuerzos legales silenciaron y anularon los esfuerzos para proteger de manera decisiva a los clientes”, escribió la fuente al Supervisor Europeo de Protección de Datos.

“La violación fue masiva, los datos de los clientes estaban en riesgo, el acceso a los dispositivos de los clientes implementados en corporaciones y hogares en todo el mundo estaban en riesgo”.

Ubiquiti no ha respondido a las repetidas solicitudes de comentarios, envíadas por parte de KrebsOnSecurity.

Según el denunciante, los piratas informáticos obtuvieron acceso completo de lectura y escritura a las bases de datos de Ubiquiti en Amazon Web Services (AWS).

La divulgación de la infracción por parte de Ubiquiti, se difundió fue “minimizada y escrita a propósito para implicar que el proveedor en nube externo estaba en riesgo y que Ubiquiti fue simplemente una víctima de eso, en lugar del objetivo del ataque”.

En su aviso público del 11 de enero, Ubiquiti dijo que se dio cuenta de un “acceso no autorizado a algunos de nuestros sistemas de tecnología de la información alojados por un proveedor de nube externo”, aunque se negó a nombrar al tercero.

En realidad, según el denunciante, los atacantes obtuvieron acceso administrativo a los servidores de Ubiquiti en el servicio de Amazon Web Services encargado de proteger el hardware y software del servidor subyacente.

“Pudieron obtener los secretos criptográficos para cookies de inicio de sesión único y acceso remoto, el contenido que da control al código fuente completo y abre las posibilidades de la filtración de claves de firma”, declaró el denunciante.

Adam dice que los atacantes tuvieron acceso a credenciales privilegiadas que estaban almacenadas previamente en la cuenta de LastPass de un empleado de TI de Ubiquiti y obtuvieron acceso de administrador a la raíz de todas las cuentas de AWS de Ubiquiti.

Incluidos todos los depósitos de datos de S3, todos los registros de aplicaciones, todas las bases de datos, todas las credenciales de la base de datos de usuario y los secretos necesarios para falsificar las cookies de inicio de sesión único (SSO).

Dicho acceso podría haber permitido a los intrusos autenticarse de forma remota en innumerables dispositivos Ubiquiti basados ​​en la nube en todo el mundo.

Según su sitio web, Ubiquiti ha vendido más de 85 millones de dispositivos que desempeñan un papel clave en la infraestructura de redes en más de 200 países y territorios de todo el mundo.

El denunciante, dice, que el equipo de seguridad de Ubiquiti detectó señales a fines de diciembre de 2020 de que alguien con acceso administrativo había configurado varias máquinas virtuales de Linux que no se contabilizaron.

Luego encontraron una puerta trasera que un intruso había dejado en el sistema.

Cuando los ingenieros de seguridad eliminaron la cuenta de puerta trasera en la primera semana de Enero, los intrusos respondieron enviando un mensaje diciendo que querían 50 bitcoins (2.8 millones de dólares) a cambio de una promesa de permanecer callados sobre la violación de seguridad.

Los atacantes también proporcionaron pruebas de que habían robado el código fuente de Ubiquiti y se comprometieron a revelar la ubicación de otra puerta trasera si NO se cumplía con su demanda de rescate.

Ubiquiti no se involucró con los piratas informáticos y no pago ese rescate, para que finalmente el equipo de respuesta a incidentes encontrará la segunda puerta trasera que los atacantes habían dejado en el sistema.

La compañía, pasaría los próximos días, cambiando todas las credenciales de todos sus empleados. Antes de que Ubiquiti comenzara a alertar a sus clientes sobre la necesidad de restablecer sus contraseñas.

Pero el denunciante sostiene, que en lugar de pedir a los clientes que cambiasen sus contraseñas la próxima vez que iniciaran sesión.

Ubiquiti, debería haber invalidado inmediatamente todas las credenciales de sus clientes y forzar un restablecimiento de todas las cuentas.

Sobre todo, porque los intrusos, ya tenían las credenciales necesarias para acceder de forma remota a los sistemas de IoT de los clientes.

Dicho esto, si tienes dispositivos de Ubiquiti instalados y aún no has cambiado las contraseñas de los dispositivos desde el 11 de Enero de este año, ahora sería un buen momento para cambiarlas.

También podría ser una gran idea eliminar los perfiles que tengas en dispositivos de Ubiquiti y asegurarte de que estén actualizados con el firmware más reciente.

Luego vuelve a crear los perfiles con credenciales nuevas (y únicas) considerando seriamente deshabilitar cualquier acceso remoto a los dispositivos.

El precio de las acciones de Ubiquiti ha crecido notablemente desde la divulgación del problema de seguridad del 16 de enero.

31 de marzo, 6:58 p. M. ET: Ubiquiti acaba de publicar una declaración en su foro de usuarios en la que dice que sus expertos no identificaron “ninguna evidencia de que se haya accedido a la información del cliente, o incluso que haya sido dirigida”

En este punto, sin embargo, el denunciante fue claro: Ubiquiti nunca registró quién tuvo acceso a esos archivos o cuándo, por lo que puede decir que no hay evidencia, porque no hay registros de acceso en los que buscar.

La declaración de Ubiquiti continúa así:

“El atacante, que intentó sin éxito extorsionar a la empresa amenazando con liberar el código fuente robado y las credenciales de TI específicas, nunca afirmó haber accedido a la información del cliente. Esto, junto con otras pruebas, es la razón por la que creemos que los datos de los clientes no fueron el objetivo del incidente ni se accedió a él en relación con el incidente “.

“En este punto, tenemos evidencia bien desarrollada de que el perpetrador es un individuo con un conocimiento intrincado de nuestra infraestructura en la nube. Dado que estamos cooperando con las fuerzas del orden en una investigación en curso, no podemos comentar más”.


Fuente: Krebson Security

Artículos Relacionados
Apple corrige fallas de iPhone y macOS bajo la amenaza de un ataque aún activo

Apple lanzó cinco correcciones de seguridad, incluida la inclusión de dos vulnerabilidades en sus sistemas operativos iPhone, iPad y Mac que ya estaban siendo explotadas. Uno de ellos, rastreado como CVE-2022-32917, se puede usar para permitir que aplicaciones maliciosas ejecuten código arbitrario con privilegios ¡SEGUIR LEYENDO!

Nuevo secuestrador de portapapeles reemplaza direcciones de billeteras criptográficas por otras similares

Un nuevo ladrón de portapapeles llamado Laplas Clipper está utilizando las direcciones de billetera de criptomonedas que se parecen a la dirección del destinatario previsto de la víctima. Laplas es diferente de otros programas maliciosos del mismo tipo, que normalmente son complementos de programas ¡SEGUIR LEYENDO!

Más del 35% de las empresas estadounidenses atacadas por hackers pierden más de 100.000 dólares

Se ha revelado que el 37% de las empresas estadounidenses que son víctimas de ataques de piratería pierden más de 100.000 dólares como resultado de esos incidentes. Según los datos de un estudio realizado por Atlas VPN, una importante compañía de seguridad de la ¡SEGUIR LEYENDO!

Chirp: Una herramienta de recopilación forense escrita en Python creada por el CISA

CISA desarrolló CHIRP (Programa de búsqueda y respuesta a incidentes de CISA) una herramienta de recopilación forense de Windows; para ayudar a los defensores de la red a encontrar indicadores de compromiso asociados con el compromiso de SolarWinds y Active Directory. El Programa de ¡SEGUIR LEYENDO!

9 Amenazas Clave para la Seguridad Informática en el 2022

Los ataques a la cadena de suministros, las campañas de desinformación, el malware móvil y las filtraciones de datos a gran escala son solo algunas de las grandes amenazas a tener en cuenta para el próximo año. En 2021, los ciberdelincuentes se aprovecharon de ¡SEGUIR LEYENDO!

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el ¡SEGUIR LEYENDO!

Ataque de ransomware detiene la impresión de algunos periódicos alemanes

El periódico alemán "Heilbronn Stimme" publicó el número de 28 páginas de hoy en formato de papel electrónico después de que un ataque de ransomware durante el viernes, paralizase sus sistemas de impresión. El sábado, el periódico publicó una edición de seis páginas de ¡SEGUIR LEYENDO!