Ubiquiti acusado de encubrir una violación de datos “catastrófica”

El 11 de Enero, Ubiquiti, un importante proveedor de dispositivos de Internet de las cosas (IoT) habilitados para la nube, como enrutadores, grabadoras de video en red y cámaras de seguridad.

Reveló que una violación que involucraba a un proveedor de nube externo había expuesto las credenciales de sus cuentas de clientes.

Una fuente que participó en la respuesta a esa violación alega que Ubiquiti restó importancia a un incidente “catastrófico” para minimizar el impacto en el precio de sus acciones.

Un profesional de seguridad de Ubiquiti que ayudó a la empresa a responder a la infracción de seguridad, se puso en contacto con KrebsOnSecurity.

La fuente, que habla bajo condición de anonimato por temor a represalias por parte de Ubiquiti, declaró.

“Fue catastróficamente peor de lo que se informó y los esfuerzos legales silenciaron y anularon los esfuerzos para proteger de manera decisiva a los clientes”, escribió la fuente al Supervisor Europeo de Protección de Datos.

“La violación fue masiva, los datos de los clientes estaban en riesgo, el acceso a los dispositivos de los clientes implementados en corporaciones y hogares en todo el mundo estaban en riesgo”.

Ubiquiti no ha respondido a las repetidas solicitudes de comentarios, envíadas por parte de KrebsOnSecurity.

Según el denunciante, los piratas informáticos obtuvieron acceso completo de lectura y escritura a las bases de datos de Ubiquiti en Amazon Web Services (AWS).

La divulgación de la infracción por parte de Ubiquiti, se difundió fue “minimizada y escrita a propósito para implicar que el proveedor en nube externo estaba en riesgo y que Ubiquiti fue simplemente una víctima de eso, en lugar del objetivo del ataque”.

En su aviso público del 11 de enero, Ubiquiti dijo que se dio cuenta de un “acceso no autorizado a algunos de nuestros sistemas de tecnología de la información alojados por un proveedor de nube externo”, aunque se negó a nombrar al tercero.

En realidad, según el denunciante, los atacantes obtuvieron acceso administrativo a los servidores de Ubiquiti en el servicio de Amazon Web Services encargado de proteger el hardware y software del servidor subyacente.

“Pudieron obtener los secretos criptográficos para cookies de inicio de sesión único y acceso remoto, el contenido que da control al código fuente completo y abre las posibilidades de la filtración de claves de firma”, declaró el denunciante.

Adam dice que los atacantes tuvieron acceso a credenciales privilegiadas que estaban almacenadas previamente en la cuenta de LastPass de un empleado de TI de Ubiquiti y obtuvieron acceso de administrador a la raíz de todas las cuentas de AWS de Ubiquiti.

Incluidos todos los depósitos de datos de S3, todos los registros de aplicaciones, todas las bases de datos, todas las credenciales de la base de datos de usuario y los secretos necesarios para falsificar las cookies de inicio de sesión único (SSO).

Dicho acceso podría haber permitido a los intrusos autenticarse de forma remota en innumerables dispositivos Ubiquiti basados ​​en la nube en todo el mundo.

Según su sitio web, Ubiquiti ha vendido más de 85 millones de dispositivos que desempeñan un papel clave en la infraestructura de redes en más de 200 países y territorios de todo el mundo.

El denunciante, dice, que el equipo de seguridad de Ubiquiti detectó señales a fines de diciembre de 2020 de que alguien con acceso administrativo había configurado varias máquinas virtuales de Linux que no se contabilizaron.

Luego encontraron una puerta trasera que un intruso había dejado en el sistema.

Cuando los ingenieros de seguridad eliminaron la cuenta de puerta trasera en la primera semana de Enero, los intrusos respondieron enviando un mensaje diciendo que querían 50 bitcoins (2.8 millones de dólares) a cambio de una promesa de permanecer callados sobre la violación de seguridad.

Los atacantes también proporcionaron pruebas de que habían robado el código fuente de Ubiquiti y se comprometieron a revelar la ubicación de otra puerta trasera si NO se cumplía con su demanda de rescate.

Ubiquiti no se involucró con los piratas informáticos y no pago ese rescate, para que finalmente el equipo de respuesta a incidentes encontrará la segunda puerta trasera que los atacantes habían dejado en el sistema.

La compañía, pasaría los próximos días, cambiando todas las credenciales de todos sus empleados. Antes de que Ubiquiti comenzara a alertar a sus clientes sobre la necesidad de restablecer sus contraseñas.

Pero el denunciante sostiene, que en lugar de pedir a los clientes que cambiasen sus contraseñas la próxima vez que iniciaran sesión.

Ubiquiti, debería haber invalidado inmediatamente todas las credenciales de sus clientes y forzar un restablecimiento de todas las cuentas.

Sobre todo, porque los intrusos, ya tenían las credenciales necesarias para acceder de forma remota a los sistemas de IoT de los clientes.

Dicho esto, si tienes dispositivos de Ubiquiti instalados y aún no has cambiado las contraseñas de los dispositivos desde el 11 de Enero de este año, ahora sería un buen momento para cambiarlas.

También podría ser una gran idea eliminar los perfiles que tengas en dispositivos de Ubiquiti y asegurarte de que estén actualizados con el firmware más reciente.

Luego vuelve a crear los perfiles con credenciales nuevas (y únicas) considerando seriamente deshabilitar cualquier acceso remoto a los dispositivos.

El precio de las acciones de Ubiquiti ha crecido notablemente desde la divulgación del problema de seguridad del 16 de enero.

31 de marzo, 6:58 p. M. ET: Ubiquiti acaba de publicar una declaración en su foro de usuarios en la que dice que sus expertos no identificaron “ninguna evidencia de que se haya accedido a la información del cliente, o incluso que haya sido dirigida”

En este punto, sin embargo, el denunciante fue claro: Ubiquiti nunca registró quién tuvo acceso a esos archivos o cuándo, por lo que puede decir que no hay evidencia, porque no hay registros de acceso en los que buscar.

La declaración de Ubiquiti continúa así:

“El atacante, que intentó sin éxito extorsionar a la empresa amenazando con liberar el código fuente robado y las credenciales de TI específicas, nunca afirmó haber accedido a la información del cliente. Esto, junto con otras pruebas, es la razón por la que creemos que los datos de los clientes no fueron el objetivo del incidente ni se accedió a él en relación con el incidente “.

“En este punto, tenemos evidencia bien desarrollada de que el perpetrador es un individuo con un conocimiento intrincado de nuestra infraestructura en la nube. Dado que estamos cooperando con las fuerzas del orden en una investigación en curso, no podemos comentar más”.


Fuente: Krebson Security

Relacionados
Salir de la versión móvil