Производитель сетевых устройств Ubiquiti не раскрывает информацию о серьёзности утечки данных, которая подвергает устройства её клиентов риску несанкционированного доступа. Об этом сообщает KrebsOnSecurity со ссылкой на неназванного информатора внутри компании.

В январе производитель маршрутизаторов, подключенных к интернету камер и других сетевых устройств сообщил, что произошёл «несанкционированный доступ к некоторым информационным системам, расположенным у стороннего поставщика облачных услуг». Нет свидетельств, что злоумышленники получили доступ к пользовательским данным. При этом нельзя исключить возможность того, что они получили имена пользователей, адреса электронной почты, криптографически зашифрованные пароли, адреса и номера телефонов. Ubiquiti рекомендовала пользователям изменить пароли и включить двухфакторную аутентификацию.

В выпущенном во вторник отчёте KrebsOnSecurity упоминается специалист по безопасности из Ubiquiti, который помогал компании исправлять последствия взлома с декабря 2020 года. По его словам, масштабы взлома намного больше, чем утверждает Ubiquiti. Эти данные скрываются, чтобы стоимость акций компании не упала.

Взлом случился по той причине, что Ubiquiti продвигает облачные учётные записи для пользователей, чтобы настраивать и администрировать устройства с новыми версиями прошивки. В статье говорится, что во время первоначальной настройки UniFi Dream Machine (популярного маршрутизатора и домашнего шлюза) пользователям предлагается войти в свою облачную учётную запись или создать её.

«Вы будете использовать эти логин и пароль для локального входа в сетевой контроллер UniFi, размещенный в UDM, пользовательском интерфейсе настроек управления UDM или через сетевой портал UniFi (https://network.unifi.ui.com) для удалённого доступа», говорится в статье. Клиенты Ubiquiti жалуются на это требование и связанный с ним риск безопасности их устройств.

По словам информатора, был получен доступ к значительно большему объёму конфиденциальных данных, чем рассказывает Ubiquiti. Злоумышленники получили административный доступ к серверам Ubiquiti в облачной службе Amazon, которая защищает базовое аппаратное и программное обеспечение сервера.

«Они смогли получить криптографические секреты для файлов куки одноразового входа и удалённого доступа, содержимое контроля исходного кода и подписанные ключи».

Злоумышленник получил доступ к привилегированным учётным данным, которые ранее хранились в учётной записи LastPass сотрудника Ubiquiti. В результате он получил доступ администратора с рут-правами ко всем учётным записям Ubiquiti AWS, включая сегменты данных S3, журналы приложений, базы данных, все учётные данные пользователей и секреты, необходимые для создания файлов куки для одноразового входа (SSO).

Такой доступ мог позволить злоумышленникам удалённо пройти аутентификацию на бесчисленных облачных устройствах Ubiquiti по всему миру. Согласно сайту производителя, Ubiquiti поставила более 85 млн устройств, которые играют ключевую роль в сетевой инфраструктуре в более чем 200 странах.

Пользователи устройств Ubiquiti как минимум должны поменять пароли и включить двухфакторную аутентификацию. Учитывая вероятность того, что злоумышленники получили секреты файлов куки для одноразового входа для удалённого доступа и подписания ключей, также рекомендуется удалить все связанные с устройством профили, убедиться в использовании последней версии прошивки, а затем воссоздать профили с новыми учётными данными. Удалённый доступ следует отключать, если в нём нет насущной необходимости.