[ad_1]

Pendant quatre jours la semaine dernière, le géant de l’Internet des objets Ubiquiti n’a pas répondu aux demandes de commentaires sur les allégations d’un dénonciateur selon lesquelles la société avait massivement minimisé une violation « catastrophique » de deux mois se terminant en janvier pour sauver le cours de son action, et que l’insinuation d’Ubiquiti selon laquelle un tiers était à blâmer était une fabrication. J’étais heureux d’ajouter leur éventuelle réponse publique au début de l’histoire de mardi sur les affirmations du lanceur d’alerte, mais leur déclaration mérite un article à part entière car elle confirme et renforce ces affirmations.

L’équipement IoT d’Ubiquiti comprend des éléments tels que des routeurs WiFi, des caméras de sécurité et des enregistreurs vidéo réseau. Leurs produits sont depuis longtemps populaires auprès des nerds de la sécurité et des bricoleurs, car ils permettent aux utilisateurs de créer facilement leurs propres réseaux IoT internes sans dépenser plusieurs milliers de dollars.

Mais une partie de cet éclat a commencé à se faire sentir récemment pour les clients les plus soucieux de la sécurité d’Ubiquiti après que l’entreprise a commencé à pousser tout le monde à utiliser une solution d’authentification et d’accès unifiée qui rend difficile l’administration de ces appareils sans s’authentifier au préalable auprès de l’infrastructure cloud d’Ubiquiti.

Tout à coup, des réseaux exclusivement locaux ont été connectés au cloud d’Ubiquiti, donnant lieu à d’innombrables fils de discussion sur les forums d’utilisateurs d’Ubiquiti de la part de clients contrariés par la possibilité d’introduire de nouveaux risques de sécurité.

Et le 11 janvier, Ubiquiti a donné du poids à cette angoisse : il a demandé aux clients de réinitialiser leurs mots de passe et d’activer l’authentification multifacteur, affirmant qu’une violation impliquant un fournisseur de cloud tiers pourrait avoir exposé les données des comptes d’utilisateurs. Ubiquiti a déclaré à ses clients qu’ils « n’étaient actuellement pas au courant de preuves d’accès à des bases de données hébergeant des données d’utilisateurs, mais nous ne pouvons pas être certains que les données d’utilisateurs n’ont pas été exposées ».

Avis d’Ubiquiti le 12 janvier 2021.

Mardi, BreachTrace a rapporté qu’une source qui a participé à la réponse à la violation a déclaré qu’Ubiquiti aurait dû immédiatement invalider toutes les informations d’identification car tous les mots de passe d’administrateur clés de l’entreprise avaient également été compromis. Le lanceur d’alerte a également déclaré qu’Ubiquiti n’avait jamais conservé de registre des personnes accédant à ses bases de données.

Le siffleur, « Adam», a déclaré sous couvert d’anonymat par crainte de représailles d’Ubiquiti. Adam a déclaré que l’endroit où ces informations d’identification d’administrateur clés ont été compromises – la présence d’Ubiquiti sur les services cloud d’Amazon Web Services (AWS) – était en fait le « tiers » blâmé pour le piratage.

Extrait de l’article de mardi :

« En réalité, a déclaré Adam, les attaquants avaient obtenu un accès administratif aux serveurs d’Ubiquiti sur le service cloud d’Amazon, qui sécurise le matériel et les logiciels du serveur sous-jacent, mais nécessite que le locataire du cloud (client) sécurise l’accès à toutes les données qui y sont stockées.

« Ils ont pu obtenir des secrets cryptographiques pour les cookies d’authentification unique et l’accès à distance, le contenu de contrôle complet du code source et l’exfiltration des clés de signature », a déclaré Adam.

Adam dit que le ou les attaquants avaient accès aux informations d’identification privilégiées qui étaient auparavant stockées dans le compte LastPass d’un employé informatique d’Ubiquiti, et ont obtenu un accès administrateur racine à tous les comptes Ubiquiti AWS, y compris tous les compartiments de données S3, tous les journaux d’application, toutes les bases de données, toutes les informations d’identification de la base de données des utilisateurs et les secrets nécessaires pour forger des cookies d’authentification unique (SSO).

Un tel accès aurait pu permettre aux intrus de s’authentifier à distance auprès d’innombrables appareils Ubiquiti basés sur le cloud dans le monde entier. Selon son site Web, Ubiquiti a expédié plus de 85 millions d’appareils qui jouent un rôle clé dans l’infrastructure réseau dans plus de 200 pays et territoires à travers le monde.

Ubiquiti a finalement répondu le 31 mars en un message signé « Team UI » sur le forum communautaire de l’entreprise en ligne.

« Rien n’a changé en ce qui concerne notre analyse des données clients et la sécurité de nos produits depuis notre notification le 11 janvier. En réponse à cet incident, nous avons fait appel à des experts externes en réponse aux incidents pour mener une enquête approfondie afin de nous assurer que l’attaquant était verrouillé hors nos systèmes.

« Ces experts n’ont identifié aucune preuve que les informations des clients aient été consultées, ou même ciblées. L’attaquant, qui a tenté en vain d’extorquer l’entreprise en menaçant de divulguer le code source volé et des informations d’identification informatiques spécifiques, n’a jamais prétendu avoir accédé à des informations sur les clients. Ceci, ainsi que d’autres preuves, est la raison pour laquelle nous pensons que les données des clients n’étaient pas la cible de l’incident ou n’y ont pas été consultées d’une autre manière.

La réponse d’Ubiquiti cette semaine sur son forum d’utilisateurs.

Ubiquiti a également laissé entendre qu’il avait une idée de qui était derrière l’attaque, affirmant qu’il avait « des preuves bien développées que l’auteur est une personne ayant une connaissance approfondie de notre infrastructure cloud. Comme nous coopérons avec les forces de l’ordre dans une enquête en cours, nous ne pouvons pas commenter davantage.

La déclaration d’Ubiquiti a largement confirmé le reportage ici en ne contestant aucun des faits soulevés dans l’article. Et même s’il peut sembler qu’Ubiquiti ergote sur le fait que des données aient été effectivement volées, Adam a déclaré qu’Ubiquiti peut dire qu’il n’y a aucune preuve que les informations sur les clients ont été consultées parce qu’Ubiquiti n’a pas conservé les journaux de qui accédait à ses bases de données.

« Ubiquiti avait une journalisation négligente (pas de journalisation des accès aux bases de données), il n’a donc pas été en mesure de prouver ou de réfuter ce à quoi ils avaient accédé, mais l’attaquant a ciblé les informations d’identification des bases de données et créé des instances Linux avec une connectivité réseau auxdites bases de données », a écrit Adam dans un lettre de lanceur d’alerte aux régulateurs européens de la protection de la vie privée le mois dernier. « Le service juridique a annulé les demandes répétées de forcer la rotation de toutes les informations d’identification des clients et d’annuler toute modification de l’autorisation d’accès à l’appareil dans la période concernée. »

Il semble que les investisseurs aient également remarqué l’incongruité. Le cours de l’action d’Ubiquiti a à peine cligné des yeux lors de la divulgation de la violation de janvier. Au contraire, du 13 janvier à l’histoire de mardi, son action est passée de 243 $ à 370 $. À la fin de la journée de négociation du 30 mars, l’assurance-chômage avait glissé à 349 $. À la clôture des marchés jeudi (les marchés étaient fermés vendredi), le titre était tombé à 289 $.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *