Взлом Ubiquiti на самом деле мог быть катастрофического масштаба

Взлом Ubiquiti на самом деле мог быть катастрофического масштаба

Злоумышленники предположительно получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS.

image

Крупный поставщик облачных IoT-устройств Ubiquiti в январе 2021 года сообщил о взломе стороннего поставщика облачных услуг, в результате которого были похищены учетные данные клиентов. Однако источник ресурса KrebsOnSecurity утверждает, что Ubiquiti сильно преуменьшила значение «катастрофического» инцидента с целью минимизировать удар по цене своих акций, а заявление стороннего поставщика облачных услуг было сфабриковано.

«Это было намного хуже, чем сообщалось, и об этом умолчали. Взлом был серьезным, данные клиентов оказались под угрозой, доступ к устройствам клиентов, развернутым в корпорациях и домах по всему миру, был под угрозой», — сообщил ИБ-специалист, который помогал Ubiquiti отреагировать на инцидент.

Как сообщалось в уведомлении от 11 января, компании стало известно о «несанкционированном доступе к некоторым IT-системам, размещенным сторонним поставщиком облачных услуг», хотя название фирмы не указывалось. По словам эксперта, хакеры получили полный доступ с правами чтения и записи баз данных Ubiquiti в сервисе Amazon Web Services (AWS), который, предположительно, был той самой «третьей стороной».

На самом деле, по утверждению эксперта, злоумышленники получили административный доступ к серверам Ubiquiti в облачной службе Amazon, которая обеспечивает безопасность базового серверного оборудования и программного обеспечения. Злоумышленники получили доступ к привилегированным учетным данным, которые ранее хранились в учетной записи LastPass IT-сотрудника Ubiquiti, и получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS, включая все сегменты данных S3, логи приложений, базы данных, учетные данные базы данных пользователей и сведения, необходимые для создания cookie-файлов технологии единого входа (Single sign-on).

Такой доступ мог позволить злоумышленникам удаленно авторизоваться на бесчисленных облачных устройствах Ubiquiti по всему миру. Как отметил специалист, в конце декабря 2020 года служба безопасности Ubiquiti получила уведомление об установке нескольких неучтенных виртуальных машин на базе Linux от имени пользователя с правами администратора. Затем ИБ-эксперты обнаружили бэкдор, внедренный злоумышленником в систему.

После удаления бэкдора в январе 2021 года, злоумышленники потребовали 50 биткойнов (около $2,8 млн) в обмен на обещание хранить молчание о взломе. Хакеры также представили свидетельства кражи исходного кода Ubiquiti и пообещали раскрыть местонахождение другого бэкдора, если требование о выкупе будет выполнено.

По словам источника, Ubiquiti не выходила на связь с хакерами, и в конечном итоге группа реагирования на инциденты нашла второй бэкдор. Компания поменяла учетные данные для всех сотрудников, а затем начала предупреждать клиентов о необходимости сбросить пароли. Эксперт полагает, что на самом деле компании следовало аннулировать все учетные данные своих клиентов и принудительно выполнить сброс паролей.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.