Le 11 janvier, Ubiquiti Inc. [NYSE:UI] – un important fournisseur d’appareils Internet des objets (IoT) compatibles avec le cloud, tels que des routeurs, des enregistreurs vidéo réseau et des caméras de sécurité – a révélé qu’une violation impliquant un fournisseur de cloud tiers avait exposé les informations d’identification du compte client. Maintenant, une source qui a participé à la réponse à cette violation allègue qu’Ubiquiti a massivement minimisé un incident « catastrophique » pour minimiser l’impact sur son cours de bourse, et que l’affirmation du fournisseur de cloud tiers était une fabrication.
Mise à jour, 5 décembre 2021 : Le ministère de la Justice a inculpé un ancien développeur d’Ubiquiti pour avoir prétendument causé la « violation » de 2020 et tenté d’extorquer l’entreprise.
Histoire originale :
Un professionnel de la sécurité d’Ubiquiti qui a aidé l’entreprise à répondre à la violation de deux mois à partir de décembre 2020 a contacté BreachTrace après avoir fait part de ses inquiétudes à la fois à la hotline d’alerte d’Ubiquiti et aux autorités européennes de protection des données. La source – nous l’appellerons Adam – a parlé sous couvert d’anonymat par crainte de représailles par Ubiquiti.
« C’était catastrophiquement pire que prévu, et les efforts juridiques ont réduit au silence et annulé les efforts pour protéger de manière décisive les clients », a écrit Adam dans une lettre au Contrôleur européen de la protection des données. « La violation était massive, les données des clients étaient en danger, l’accès aux appareils des clients déployés dans les entreprises et les foyers du monde entier était en danger. »
Ubiquiti n’a pas répondu aux demandes répétées de commentaires.
Mise à jour, 31 mars, 18 h 58 HE : Dans un message sur son forum d’utilisateurs, Ubiquiti a déclaré que ses experts en sécurité n’avaient identifié « aucune preuve que les informations des clients aient été consultées, ou même ciblées ». Ubiquiti peut dire cela, dit Adam, car il n’a pas conservé de trace des comptes accédant à ces données. Nous en apprendrons plus à ce sujet d’Adam dans un instant.
Histoire originale :
Selon Adam, les pirates ont obtenu un accès complet en lecture/écriture aux bases de données d’Ubiquiti à Services Web Amazon (AWS), qui était le « tiers » présumé impliqué dans la violation. La divulgation de la violation d’Ubiquiti, a-t-il écrit, a été « minimisée et délibérément écrite pour impliquer qu’un fournisseur de cloud tiers était en danger et qu’Ubiquiti n’en était qu’une victime, au lieu d’être la cible de l’attaque ».
Dans son avis public du 11 janvier, Ubiquiti a déclaré avoir pris connaissance d’un « accès non autorisé à certains de nos systèmes informatiques hébergés par un fournisseur de cloud tiers », bien qu’il ait refusé de nommer le tiers.
En réalité, a déclaré Adam, les attaquants avaient obtenu un accès administratif aux serveurs d’Ubiquiti sur le service cloud d’Amazon, qui sécurise le matériel et les logiciels du serveur sous-jacent, mais nécessite que le locataire du cloud (client) sécurise l’accès à toutes les données qui y sont stockées.
« Ils ont pu obtenir des secrets cryptographiques pour les cookies d’authentification unique et l’accès à distance, le contenu de contrôle complet du code source et l’exfiltration des clés de signature », a déclaré Adam.
Adam dit que le ou les attaquants avaient accès à des informations d’identification privilégiées qui étaient auparavant stockées dans le Dernier passage compte d’un employé informatique d’Ubiquiti et a obtenu un accès administrateur racine à tous les comptes Ubiquiti AWS, y compris tous les compartiments de données S3, tous les journaux d’application, toutes les bases de données, toutes les informations d’identification de la base de données des utilisateurs et les secrets nécessaires pour créer des cookies d’authentification unique (SSO).
Un tel accès aurait pu permettre aux intrus de s’authentifier à distance auprès d’innombrables appareils Ubiquiti basés sur le cloud dans le monde entier. Selon son site Web, Ubiquiti a expédié plus de 85 millions d’appareils qui jouent un rôle clé dans l’infrastructure réseau dans plus de 200 pays et territoires à travers le monde.
Adam dit que l’équipe de sécurité d’Ubiquiti a détecté des signaux fin décembre 2020 indiquant qu’une personne disposant d’un accès administratif avait configuré plusieurs machines virtuelles Linux qui n’étaient pas prises en compte.
Ensuite, ils ont trouvé une porte dérobée qu’un intrus avait laissée dans le système.
Lorsque les ingénieurs en sécurité ont supprimé le compte de porte dérobée au cours de la première semaine de janvier, les intrus ont répondu en envoyant un message disant qu’ils voulaient 50 bitcoins (~ 2,8 millions de dollars US) en échange d’une promesse de garder le silence sur la violation. Les attaquants ont également fourni la preuve qu’ils avaient volé le code source d’Ubiquiti et se sont engagés à divulguer l’emplacement d’une autre porte dérobée si leur demande de rançon était satisfaite.
Ubiquiti ne s’est pas engagé avec les pirates, a déclaré Adam, et finalement l’équipe de réponse aux incidents a trouvé la deuxième porte dérobée que les extorqueurs avaient laissée dans le système. L’entreprise passerait les prochains jours à faire tourner furieusement les informations d’identification de tous les employés, avant qu’Ubiquiti ne commence à alerter les clients sur la nécessité de réinitialiser leurs mots de passe.
Mais il soutient qu’au lieu de demander aux clients de changer leurs mots de passe lors de leur prochaine connexion – comme l’entreprise l’a fait le 11 janvier – Ubiquiti aurait dû immédiatement invalider toutes les informations d’identification de ses clients et forcer une réinitialisation sur tous les comptes, principalement parce que les intrus déjà avaient les informations d’identification nécessaires pour accéder à distance aux systèmes IoT des clients.
« Ubiquiti avait une journalisation négligente (pas de journalisation des accès aux bases de données), il n’a donc pas été en mesure de prouver ou de réfuter ce à quoi ils avaient accédé, mais l’attaquant a ciblé les informations d’identification des bases de données et a créé des instances Linux avec une connectivité réseau auxdites bases de données », a écrit Adam dans son lettre. « Le service juridique a annulé les demandes répétées de forcer la rotation de toutes les informations d’identification des clients et d’annuler toute modification de l’autorisation d’accès à l’appareil dans la période concernée. »
Si vous avez installé des appareils Ubiquiti et que vous n’avez pas encore changé les mots de passe sur les appareils depuis le 11 janvier de cette année, ce serait le bon moment pour vous en occuper.
Il peut également être judicieux de supprimer simplement tous les profils que vous aviez sur ces appareils, de vous assurer qu’ils sont à jour avec le dernier micrologiciel, puis de recréer ces profils avec de nouveaux [and preferably unique] crédits. Et envisagez sérieusement de désactiver tout accès à distance sur les appareils.
Le cours de l’action d’Ubiquiti a considérablement augmenté depuis la divulgation de la violation de la société le 16 janvier. Après une brève baisse après la nouvelle, les actions d’Ubiquiti sont passées de 243 $ le 13 janvier à 370 $ à ce jour. À la clôture du marché mardi, l’assurance-chômage avait glissé à 349 $. Mise à jour, 1er avril : Les actions d’Ubiquiti ont ouvert en baisse de près de 15 % mercredi ; jeudi matin, il se négociait à 298 $.