image

"Ubiquiti verzweeg werkelijke impact van ernstig datalek voor klanten"

woensdag 31 maart 2021, 09:46 door Redactie, 9 reacties

Netwerkfabrikant Ubiquiti heeft de werkelijke impact van een datalek waar het in januari klanten voor waarschuwde verzwegen en bepaalde details verzonnen, om zo de gevolgen voor de aandelenkoers te beperken. Dat laat een anonieme klokkenluider tegenover it-journalist Brian Krebs weten. Ubiquiti wilde niet tegenover Krebs reageren en klanten eisen nu opheldering.

Ubiquiti waarschuwde klanten op 11 januari voor een mogelijk datalek nadat onbevoegden toegang tot verschillende systemen van het netwerkbedrijf hadden gekregen. Deze systemen werden bij een externe niet nader genoemde cloudprovider gehost. Althans, dat was de uitleg van Ubiquiti. De klokkenluider, die het getroffen netwerkbedrijf bijstond, stelt dat Ubiquiti het verhaal opzettelijk heeft verzonnen om te doen alsof de third-party cloudprovider risico liep en Ubiquiti slechts een slachtoffer daarvan was geworden. In werkelijkheid was het netwerkbedrijf zelf een direct doelwit van de aanval en was de impact daarvan vele malen groter dan in de waarschuwing aan klanten werd voorgesteld.

De aanvallers wisten volgens de klokkenluider toegang tot inloggegevens te krijgen die in het LastPass-account van een Ubiquiti-medewerker waren opgeslagen. Daarmee konden ze op alle Amazon Web Services-accounts van het netwerkbedrijf als root administrator inloggen. Het ging onder andere om alle S3-buckets die voor de opslag van data worden gebruikt, alle applicatielogs, alle databases, alle inloggegevens van gebruikersdatabases en secrets vereist voor het creëren van single sign-on (SSO) cookies. Tevens hadden de aanvallers toegang tot de broncode van Ubiquiti

Met dergelijke toegang hadden de aanvallers op afstand kunnen inloggen op tal van cloud-gebaseerde netwerkapparaten van Ubiquiti. Het bedrijf claimt dat het meer dan 85 miljoen netwerkapparaten heeft geleverd die een belangrijk onderdeel vormen van netwerken wereldwijd. Ubiquiti ontdekte eind december dat iemand met beheerderstoegang verschillende onbekende Linux virtual machines had aangemaakt. Vervolgens werd er een backdoor ontdekt die de aanvallers hadden achtergelaten.

Nadat de onderzoekers dit backdoor-account in de eerste week van januari hadden verwijderd reageerden de aanvallers dat ze 2,8 miljoen dollar eisten om het datalek stil te houden. Tevens gaven de aanvallers bewijs dat ze de broncode van Ubiquiti hadden buitgemaakt en beloofden om de aanwezigheid van een tweede backdoor te openbaren. Ubiquiti ging hier niet op in en het onderzoeksteam ontdekte uiteindelijk de tweede achtergelaten backdoor.

De dagen daarna werden alle inloggegevens van medewerkers gereset, waarna klanten werd aangeraden om hun wachtwoorden te wijzigen. Volgens de klokkenluider had Ubiquiti klanten niet moeten vragen om hun wachtwoord te resetten, maar had het bedrijf dit moeten afdwingen. Met name omdat de aanvallers over inloggegevens beschikten waarmee ze op afstand konden inloggen op de systemen van klanten.

Ubiquiti logde niet wie er toegang tot de databases had, waardoor het niet kon bewijzen of ontkennen wat de aanvallers hadden buitgemaakt, aldus de klokkenluider. Tevens zou de juridische afdeling van Ubiquiti herhaaldelijke verzoeken om de wachtwoorden van klanten te resetten en aanpassingen in de betreffende periode terug te draaien hebben afgeschoten. Eigenaren van een Ubiquiti-apparaat die hun wachtwoord sinds 11 januari van dit jaar niet hebben aangepast wordt aangeraden dit alsnog te doen. Op het forum van Ubiquiti eisen klanten inmiddels opheldering, maar ook daar heeft het bedrijf nog niet gereageerd.

Reacties (9)
31-03-2021, 09:53 door Anoniem
Zeer kwalijk als dit waar blijkt te zijn.

Ubiquity lijkt z'n best te doen de goede naam snel kwijt te raken: advertenties op de controller interface, nog steeds geen 2FA op de controller ondanks vele verzoeken (en dit zou eigenlijk een nobrainer moeten zijn) en dan dit eroverheen.

Heel erg jammer want kwalitatief goede spullen.
31-03-2021, 12:12 door majortom - Bijgewerkt: 31-03-2021, 12:13
Door Anoniem: Zeer kwalijk als dit waar blijkt te zijn.

Ubiquity lijkt z'n best te doen de goede naam snel kwijt te raken: advertenties op de controller interface, nog steeds geen 2FA op de controller ondanks vele verzoeken (en dit zou eigenlijk een nobrainer moeten zijn) en dan dit eroverheen.

Heel erg jammer want kwalitatief goede spullen.
Ik heb zelf Ubiquity netwerk apparatuur, maar heb heen last van advertenties e.d. Dat zal dan wel komen omdat ik alles lokaal host en niet een cloud interface gebruik,

Wel kwalijk inderdaad als ze de boel verdraaid hebben, Transparantie is hier altijd key, wil je je naam niet te grabbel gooien (en de waarheid komt toch altijd wel boven tafel).
31-03-2021, 12:27 door Anoniem
Corruptie binnen de ubiquity "wellicht",
en dit gaan onderzoeken hup werk aan de winkel.

The Matrix
31-03-2021, 12:28 door Anoniem
Door majortom:
Ik heb zelf Ubiquity netwerk apparatuur, maar heb heen last van advertenties e.d. Dat zal dan wel komen omdat ik alles lokaal host en niet een cloud interface gebruik,
Nee dat komt dan omdat je al een tijdje niet geupdate hebt.
De "nieuwe versie" van de controller software die heeft die idiote advertenties, of je die nu lokaal host of cloud maakt niet uit.

Lokaal hosten is natuurlijk altijd wel verstandig, maar ondertussen is er al functionaliteit die niet werkt als je controller geen
internet verbinding heeft dus dat is op den duur ook een aflopende zaak cq geen oplossing meer. De controller maakt
als ie de kans krijgt dagelijks meerdere verbindingen met de cloud "om allerlei statistics door te geven" (dat kun je uitzetten,
hij maakt dan echter nog steeds de verbinding, heeft alleen geen file om te verzenden, dat geeft een foutmelding) en ook
haalt ie allerlei dingen op zoals EOL datum lijsten, laatste versienummers van software, e.d.
Er is altijd een risico dat in een van de vele contactmomenten ergens een component betrokken is die een vulnerability
heeft en die (zeker nu het cloudplatform gehacked is) wellicht trojan software naar binnen kan halen.
Voorlopig lijkt het het beste om de controller van internet te isoleren. Als je firmware wilt updaten kan dat ook "buitenom"
dwz zelf downloaden en klaar zetten voor installatie. Maar goed, recente firmware kun je ook niet meer vertrouwen nu.
31-03-2021, 13:08 door Anoniem
Dit past wel redelijk in de lijn van Ubiquiti. Ze maken de eerste keer altijd iets voor de helft om het gaandeweg te verbeteren.

Dat is prima zolang spul niet direct aan het internet hangt maar met hun cloud functie hebben ze toch heel hard gefaald.

Dat ze daar niets over naar buiten brengen hangt ook tevens in de lijn van Ubiquiti het laatste jaar. Er zijn uit de community enorm veel klachten over het slechte communicatie beleid voor name met betrekking tot het EOL'en van diverse modellen maar ook een veel gehoorde klacht is het cloud-only maken van diverse producten.
31-03-2021, 13:45 door Anoniem
Wat moet je aan met verbindingen naar wd-prod-cp-eu-west-2-fe.westeurope.cloudapp.azure.com,
sdk.privacy-center.org, cdnjs.cloudflare.com & production-proxy-haystack-api-tnet-nl.tmgcloud.nl etc?

24 op 7 wordt men volledig leeggetrokken op je device en het is nooit genoeg.
En blokkeren levert weer een circumvent op. De toezichthouders kijken lekker een andere kant op.
Het eindigt tenslotte in de grootste onvrijheid ooit beleefd. Een ware Interwebz dystopie.
Waar zijn we op weg naar toe, lieve eindgebruikers van de digitale snelwegen?

Willen we dat?

Kennelijk toch wel, want het lijkt wel of ik alleen ben bij mijn bewustwording van dit voortgaande tracking en surveillance circus. Verzwijgen van feiten en security through obscurity gaat de daders echter niet helpen.
Op een bepaald moment zal het duidelijk worden voor een ieder met twee meer hersencellen dan de doorsnee garnaal.

En het is allemaal zo lekker dubbel ook nog.

Vergelijk het even met het wijzen naar de kleine vervuiler,
terwijl de grote fabrikant ongestraft weekmakers kan produceren,
waardoor mannelijke geslachtsorganen op den duur steeds kleiner worden bij nieuwgeborenen
en later een duidelijk verminderde vruchtbaarheid optreedt.

Dit kan allemaal onopgemerkt voor de meesten passeren. Wie staat er echt bij stil?
De belastingontwijking door/voor deze giga anti-groene-spelers gaat ondertussen gewoon door.

Joris Goedbloed
31-03-2021, 17:19 door Tintin and Milou
Door Anoniem: Zeer kwalijk als dit waar blijkt te zijn.

Ubiquity lijkt z'n best te doen de goede naam snel kwijt te raken: advertenties op de controller interface, nog steeds geen 2FA op de controller ondanks vele verzoeken (en dit zou eigenlijk een nobrainer moeten zijn) en dan dit eroverheen.
Ik heb wel 2FA op mijn login aanstaan. Dit is echter wel de Cloud login.

Heel erg jammer want kwalitatief goede spullen.
Het is inderdaad zeker geen slecht spul, maar de kwaliteit van de software laat wel tegenwoordig iets te wensen over.

Door majortom:
Ik heb zelf Ubiquity netwerk apparatuur, maar heb heen last van advertenties e.d. Dat zal dan wel komen omdat ik alles lokaal host en niet een cloud interface gebruik
Je kreeg deze volgens mij alleen te zien in de laatste (nog al buggy) firmware en indien je geen USG had.
01-04-2021, 10:17 door majortom - Bijgewerkt: 01-04-2021, 10:19
Door Tintin and Milou:
Door majortom:
Ik heb zelf Ubiquity netwerk apparatuur, maar heb heen last van advertenties e.d. Dat zal dan wel komen omdat ik alles lokaal host en niet een cloud interface gebruik
Je kreeg deze volgens mij alleen te zien in de laatste (nog al buggy) firmware en indien je geen USG had.
Heb wel een USG, maar inderdaad niet de laatste controller software wellicht. Misschien moet ik daar, gezien het feit dat je die als buggy aanmerkt ook maar even niet installeren. Verder draai ik de controller software op een Raspberry Pi, weet niet of dat misschien ook een verschil is.
01-04-2021, 13:20 door Anoniem
Door Anoniem:
Door majortom:
Ik heb zelf Ubiquity netwerk apparatuur, maar heb heen last van advertenties e.d. Dat zal dan wel komen omdat ik alles lokaal host en niet een cloud interface gebruik,
Nee dat komt dan omdat je al een tijdje niet geupdate hebt.
De "nieuwe versie" van de controller software die heeft die idiote advertenties, of je die nu lokaal host of cloud maakt niet uit.

Lokaal hosten is natuurlijk altijd wel verstandig, maar ondertussen is er al functionaliteit die niet werkt als je controller geen
internet verbinding heeft dus dat is op den duur ook een aflopende zaak cq geen oplossing meer. De controller maakt
als ie de kans krijgt dagelijks meerdere verbindingen met de cloud "om allerlei statistics door te geven" (dat kun je uitzetten,
hij maakt dan echter nog steeds de verbinding, heeft alleen geen file om te verzenden, dat geeft een foutmelding) en ook
haalt ie allerlei dingen op zoals EOL datum lijsten, laatste versienummers van software, e.d.
Er is altijd een risico dat in een van de vele contactmomenten ergens een component betrokken is die een vulnerability
heeft en die (zeker nu het cloudplatform gehacked is) wellicht trojan software naar binnen kan halen.
Voorlopig lijkt het het beste om de controller van internet te isoleren. Als je firmware wilt updaten kan dat ook "buitenom"
dwz zelf downloaden en klaar zetten voor installatie. Maar goed, recente firmware kun je ook niet meer vertrouwen nu.

Als je de interface terugzet naar "classic"ben je van de reclame af. Niet dat het goed maakt, maar het is een oplossing om er van af te komen...voor nu.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.