Взлом Ubiquiti на самом деле мог быть катастрофического масштаба
31 марта 2021 года
Крупный поставщик облачных IoT-устройств Ubiquiti в январе 2021 года сообщил о взломе стороннего поставщика облачных услуг, в результате которого были похищены учетные данные клиентов. Однако источник ресурса KrebsOnSecurity утверждает, что Ubiquiti сильно преуменьшила значение «катастрофического» инцидента с целью минимизировать удар по цене своих акций, а заявление стороннего поставщика облачных услуг было сфабриковано.
«Это было намного хуже, чем сообщалось, и об этом умолчали. Взлом был серьезным, данные клиентов оказались под угрозой, доступ к устройствам клиентов, развернутым в корпорациях и домах по всему миру, был под угрозой», — сообщил ИБ-специалист, который помогал Ubiquiti отреагировать на инцидент.
Как сообщалось в уведомлении от 11 января, компании стало известно о «несанкционированном доступе к некоторым IT-системам, размещенным сторонним поставщиком облачных услуг», хотя название фирмы не указывалось. По словам эксперта, хакеры получили полный доступ с правами чтения и записи баз данных Ubiquiti в сервисе Amazon Web Services (AWS), который, предположительно, был той самой «третьей стороной».
На самом деле, по утверждению эксперта, злоумышленники получили административный доступ к серверам Ubiquiti в облачной службе Amazon, которая обеспечивает безопасность базового серверного оборудования и программного обеспечения. Злоумышленники получили доступ к привилегированным учетным данным, которые ранее хранились в учетной записи LastPass IT-сотрудника Ubiquiti, и получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS, включая все сегменты данных S3, логи приложений, базы данных, учетные данные базы данных пользователей и сведения, необходимые для создания cookie-файлов технологии единого входа (Single sign-on).
Такой доступ мог позволить злоумышленникам удаленно авторизоваться на бесчисленных облачных устройствах Ubiquiti по всему миру. Как отметил специалист, в конце декабря 2020 года служба безопасности Ubiquiti получила уведомление об установке нескольких неучтенных виртуальных машин на базе Linux от имени пользователя с правами администратора. Затем ИБ-эксперты обнаружили бэкдор, внедренный злоумышленником в систему.
После удаления бэкдора в январе 2021 года, злоумышленники потребовали 50 биткойнов (около $2,8 млн) в обмен на обещание хранить молчание о взломе. Хакеры также представили свидетельства кражи исходного кода Ubiquiti и пообещали раскрыть местонахождение другого бэкдора, если требование о выкупе будет выполнено.
По словам источника, Ubiquiti не выходила на связь с хакерами, и в конечном итоге группа реагирования на инциденты нашла второй бэкдор. Компания поменяла учетные данные для всех сотрудников, а затем начала предупреждать клиентов о необходимости сбросить пароли. Эксперт полагает, что на самом деле компании следовало аннулировать все учетные данные своих клиентов и принудительно выполнить сброс паролей.
Источники править
Эта статья содержит материалы из статьи «Взлом Ubiquiti на самом деле мог быть катастрофического масштаба», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.