2021年1月11日,,知名物聯(lián)網(wǎng)設備制造商Ubiquiti公司(產品涵蓋路由器、網(wǎng)絡攝像機與安保攝像頭等)宣布遭遇違規(guī)事件,,使用的第三方云服務遭受入侵,導致大量客戶賬戶憑證意外流出,。
近日,,一位熟悉該事件內情的消息人士表示,Ubiquiti對外刻意削弱了此次事件的“災難性”后果,,希望降低對股價的打擊,。涉事第三方云服務商也發(fā)布聲明,稱 Ubiquiti關于事件起因的說法純屬捏造,。
Ubiquiti公司的一位安全專家參與處理了這起2020年12月開始為期兩個月的違規(guī)事件,,他在向Ubiquiti舉報熱線和歐洲數(shù)據(jù)保護機構上報發(fā)現(xiàn)的問題后,,又向KrebsOnSecurity進行了曝光。由于不愿公布身份,,下文我們將稱這位安全專家為亞當,。
亞當在致歐洲數(shù)據(jù)保護機構的函件中寫道,“實際情況比上報內容糟糕得多,,應對部門也沒有采取果斷措施以保護客戶權益,。此次漏洞非常嚴重,客戶數(shù)據(jù)意外泄露,,全球各企業(yè)及家庭中部署的設備普遍面臨威脅,。”
Ubiquiti并未回應評論請求,。
核心賬號泄露,,云上防線全面淪陷
根據(jù)亞當?shù)慕榻B,黑客先是在亞馬遜AWS云上獲得了對Ubiquiti數(shù)據(jù)庫的完全讀取/寫入訪問權限,。而AWS,,正是Ubiquiti當初在報告中提到的所謂“第三方云服務商”。亞當寫道,,“Ubiquiti故意對自己的違規(guī)問題一帶而過,,并暗示此次風險是由第三方云服務商所造成,Ubiquiti在其中只是受害者,、而非直接攻擊目標,。”
在1月11日的公告中,,Ubiquiti公司表示已經(jīng)注意到“由第三方云服務商托管的部分信息技術系統(tǒng)遭遇未授權訪問”,,但其中并未明確提到所謂第三方的確切身份。
但實際上,,攻擊者已經(jīng)掌握了AWS云上對于Ubiquiti服務器的管理訪問權限,。這項服務的作用在于保護底層服務器硬件與軟件,但要求云租戶(客戶端)負責保護云端存儲數(shù)據(jù)的訪問權限,。
亞當強調,,“他們攻擊者獲得了單點登錄Cookie與遠程訪問憑證、全部源代碼控制內容,,并成功竊取出簽名密鑰,。”
攻擊者能夠訪問存儲在Ubiquiti IT員工LastPass賬戶中的高權限憑證,,甚至獲得了root管理員權限,,因此能夠訪問所有Ubiquiti AWS賬戶,包括全部S3數(shù)據(jù)存儲桶,、全部應用程序日志,、全部數(shù)據(jù)庫,、全部用戶數(shù)據(jù)庫憑證、以及偽造單點登錄(SSO)Cookie所需要的機密信息,。
這種全面的訪問能力,,使得入侵者能夠面向全球范圍內無數(shù)接入Ubiquiti云的物聯(lián)網(wǎng)設備進行遠程身份驗證。根據(jù)官方網(wǎng)站的說明,,Ubiquiti迄今已經(jīng)售出超過8500萬臺設備,,分布在全球200多個國家及地區(qū)的網(wǎng)絡基礎設施當中。
應急處置不力,,平臺留下重大隱患
亞當表示,,Ubiquiti安全團隊早在2020年12月底就收集消息,表示已經(jīng)有人濫用管理訪問權限創(chuàng)建了多套身份不明的Linux虛擬機,。
之后,,他們發(fā)現(xiàn)了入侵者在系統(tǒng)中留下的后門。今年1月初,,安全工程師成功刪除了后門賬戶,,但入侵方立即做出回應。他們發(fā)出一條消息,,宣稱Ubiquiti需要支付50個比特幣(約合280萬美元),,否則他們將把入侵成功的消息公之于眾。攻擊者還提供了他們竊取到Ubiquiti源代碼的證據(jù),,并承諾在收到贖金之后,,會向Ubiquiti告知他們留下的另一個后門。
Ubiquiti公司并沒有與黑客接觸,,事件響應小組最終自行發(fā)現(xiàn)了勒索攻擊者在系統(tǒng)中留下的第二個后門,。面對緊迫的安全形勢,Ubiquiti開始抓緊時間對全體員工的憑證進行輪換,,之后才向客戶發(fā)出密碼重置警告,。
但在亞當看來,Ubiquiti公司1月11日做出的,、要求客戶在下次登錄時更改密碼的決定并不靠譜,。相反,正確的處置方法應該是立即撤銷所有現(xiàn)有客戶憑證并強制重置所有賬戶,,只有這樣才能解除入侵者已經(jīng)掌握客戶物聯(lián)網(wǎng)系統(tǒng)遠程訪問憑證的現(xiàn)實危機,。
亞當解釋道,“Ubiquiti的日志記錄相當粗枝大葉(無法在數(shù)據(jù)庫上訪問日志記錄),,因此工作人員根本無法證實或證偽入侵者們實際訪問過哪些內容。而對方表示憑證來自數(shù)據(jù)庫,,并成功創(chuàng)建了幾個能夠接入該數(shù)據(jù)庫的Linux實例,。正確的做法顯然應該是覆蓋掉重復請求,,強制輪換所有客戶憑證,并在勒索期限之內還原一切設備的訪問許可變更,?!?/p>
3月31日,Ubiquiti公司在用戶論壇上發(fā)表一份聲明,,稱該公司的專家認為“沒有證據(jù)表明客戶信息遭到訪問,、或者被故意針對?!?/p>
但這時候亞當心里非常清楚:Ubiquiti根本就沒有記錄過文件的訪問權限與訪問活動時間,,所以這里說的“沒有證據(jù)”也不算完全胡說——他們根本就拿不出可靠的訪問日志。
Ubiquiti還在聲明中提到:
“攻擊者以發(fā)布被盜源代碼及部分IT憑證等理由向我們實施勒索,,但我們并未屈服,,也沒有發(fā)現(xiàn)任何客戶信息遭到訪問的跡象。結合其他證據(jù),,我們認為客戶數(shù)據(jù)不是此次攻擊事件的直接目標或起因,。”
“截至目前,,我們有充分的理由相信,,犯罪者非常熟悉我們使用的云基礎設施。我們正與執(zhí)法部門合作推進相關調查,,因此暫時無法提供更多事件詳情,。”
最后
如果您目前正在使用Ubiquiti設備,,而且在今年1月11日以來還沒有更改過設備上的密碼,,請馬上著手更改密碼。
我們建議您刪除這些設備上的所有配置文件,,確保升級至最新固件版本,,而后使用新的(最好是唯一的)憑證重新創(chuàng)建配置文件。另外,,請考慮禁用設備上的一切遠程訪問權限,。