Enkele maanden geleden heeft Ubiquiti zijn klanten geïnformeerd over ongeautoriseerde toegang tot zijn servers. Daarbij zou er geen indicatie zijn dat gebruikersinformatie gestolen was. Volgens een securityprofessional was de omvang van de inbraak echter veel groter dan Ubiquiti wil toegeven.
In januari publiceerde Ubiquiti een bericht waarmee het zijn klanten informeerde over een inbraak in zijn systemen. “Wij hebben onlangs kennis genomen van ongeoorloofde toegang tot enkele van onze IT-systemen die worden gehost door een externe cloudprovider. Wij hebben geen aanwijzingen dat er ongeoorloofde activiteiten hebben plaatsgevonden met betrekking tot de account van een gebruiker.” Ubiquiti vertelt verder dat er geen indicatie is van gegevensdiefstal, maar raadt gebruikers voor de zekerheid aan om hun wachtwoord te veranderen.
Situatie veel erger dan Ubiquiti doet vermoeden
Volgens een beveiligingsexpert die samen met Ubiquiti onderzoek heeft gedaan naar de inbreuk, is de situatie echter een stuk ernstiger dan het bericht van Ubiquiti doet vermoeden. Hij deelt zijn ervaringen met securityjournalist Brian Krebs. Anoniem, uit angst voor vergelding van Ubiquiti.
De beveiligingsexpert, die van Krebs het pseudoniem Adam krijgt, heeft een brief geschreven naar de Europees Toezichthouder voor gegevensbescherming. Daarin vertelt hij dat de inbreuk ‘catastrofaal erger’ was Ubiquiti had verteld. Het bedrijf zou actief werk om zijn klanten te beschermen zijn tegengegaan. “De inbraak was gigantisch, klantengegevens liepen risico, net als apparaten van klanten die wereldwijd in bedrijven en huishoudens worden ingezet.”
Het bericht van Ubiquiti is verwoord alsof de blaam van de inbraak bij de externe cloudprovider gelegd kan worden. Ubiquiti maakt inderdaad gebruik van Amazon Web Services. AWS levert volgens Adam de onderliggende hardware en software, maar Ubiquiti gaat zelf over de beveiliging van de gegevens die daar zijn opgeslagen. Volgens Adam is de inbraak het gevolg van hiaten in de beveiliging van Ubiquiti, niet bij die van AWS.
De aanvaller zou toegang hebben gekregen tot de LastPass-account van een Ubiquiti-werknemer en daarmee brontoegang hebben gekregen tot alle AWS-accounts van Ubiquiti, waaronder alle S3 data buckets, applicatielogboeken, databases, inloggegevens en geheimen voor het maken van single sign-in (SSO)-cookies.
Toegang tot alle Ubiquiti-apparaten met verbinding met de cloud
Met deze uitgebreide toegang tot de database van Ubiquiti kregen de hackers ook meteen toegang tot een enorm aantal cloud-gebaseerde Ubiquiti-apparaten die over de wereld verspreid zijn. Ubiquiti heeft tientallen miljoenen apparaten verkocht, die allemaal een centrale rol spelen in de netwerken van de gebruikers. Naast routers en andere netwerkapparatuur verkoopt het bedrijf ook IoT-apparaten als beveiligingscamera’s en slimme deursloten.
Overigens zijn lang niet alle apparaten van Ubiquiti met de cloud verbonden. Veel van de populaire netwerkapparatuur van het bedrijf maakt uitsluitend gebruik van lokale software, zoals de Unifi Controller-software. Deze kunnen overigens wel verbonden worden met de cloud door middel van de Cloud Key. Vooral de IoT-apparaten van Ubiquiti zijn afhankelijk van de gekraakte clouddiensten.
Het bedrijf heeft echter recentelijk enkele nieuwe netwerkapparaten uitgebracht die ook verbinding maken met de cloud. Hiermee zouden de producten gebruiksvriendelijker zijn, maar hebben de gebruikers de zeggenschap over de beveiliging van hun apparatuur niet meer in eigen hand. Nu laat de beveiliging van de netwerkapparatuur van eindgebruikers en kleine bedrijven wel vaker te wensen over, maar dat maakt het extra pijnlijk als er een beveiligingslek is bij Ubiquiti. Een beveiligingslek bij Ubiquiti zelf heeft bovendien veel grotere gevolgen dan een individueel slecht beveiligd wifinetwerk.
Afpersing door de aanvallers
De eerste tekenen dat er een iets gaande was in de systemen van Ubiquiti kwamen eind december bovendrijven. Het beveiligingsteam merkte op dat er zonder verklaarbare reden een aantal Linux-vm’s waren opgezet. Vervolgens ontdekten de medewerkers een backdoor in het netwerk.
De backdoor was snel verwijderd, maar daarmee was de crisis nog niet voorbij. De aanvallers namen contact op met Ubiquiti en eisten 50 bitcoin (bijna 2,5 miljoen euro) voor de belofte om stil te blijven over de inbraak en te verklappen waar ze een tweede backdoor in het systeem hadden achtergelaten. Ze lieten gestolen broncode van Ubiquiti zien als bewijs van de inbraak.
Ubiquiti ging niet in op de poging tot afpersing en wist uiteindelijk zelf de tweede backdoor te vinden. Vervolgens heeft het bedrijf alle werknemers hun wachtwoorden laten veranderen, waarna het bedrijf het eerdergenoemde bericht naar zijn klanten stuurde.
Onvoldoende ingegrepen
Volgens Adam is een simpel verzoek om een wachtwoord te veranderen echter onvoldoende in deze situatie. Hij vindt dat het bedrijf onmiddellijk alle bestaande inloggegevens ongeldig had moeten laten verklaren. Dan zouden alle gebruikers gedwongen hun account moeten resetten. De aanvallers hadden immers al de inloggegevens weten te bemachtigen om op afstand toegang te krijgen tot de IoT-apparaten van gebruikers.
“Bij Ubiquiti was er sprake van negligent logging (geen toegangslogging op databases), waarmee het bedrijf niet in staat was om te bewijzen of te weerleggen waar de aanvallers toegang tot hadden. De aanvaller richtte echter zich op de inloggegevens voor de databases en creëerde Linux-instanties met netwerkconnectiviteit voor genoemde databases,” schreef Adam in zijn brief. “De juridische afdeling keurde herhaalde verzoeken af om reset van inloggegevens af te dwingen en alle wijzigingen van toegangsrechten voor apparaten binnen de betreffende periode terug te draaien.”
Onderzoek naar fraude
De onthullingen van de anonieme beveiligingsexpert heeft voor flinke ophef gezorgd. Block & Leviton, een advocatenkantoor dat zich specialiseert in geschillen in effecten, heeft daarom aangekondigd te gaan onderzoeken of Ubiquiti of bestuursleden van het bedrijf de federale wetgeving voor effecten hebben overtreden. Het bedrijf stelt dat het bedrijf de omvang van de inbraak heeft gebagatelliseerd om een grotere klap op de beurswaarde van het bedrijf te voorkomen. Aandeelhouders met relevante informatie of vragen over hun rechten worden verzocht om met Block & Levin contact op te nemen.
Block & Leviton is niet het enige bedrijf dat een onderzoek naar Ubiquiti heeft gestart. Ook advocatenkantoor The Schall Law Firm heeft aangekondigd zich op de zaak te storten. Het bedrijf moedigt aandeelhouders met verliezen van meer dan 100.000 dollar aan om contact op te nemen.
Hoe nu verder
Ubiquiti heeft zelf nog geen officiële reactie gegeven op de onthullingen. Brian Krebs raadt gebruikers van Ubiquiti-apparaten aan om alle profielen op hun apparatuur te verwijderen, de nieuwste firmware te installeren en vervolgens nieuwe gebruikersprofielen aan te maken. Uiteraard is het daarbij verstandig om daarbij unieke inloggegevens te gebruiken. Ook suggereert Krebs om alle vormen van toegang op afstand voor de apparaten uit te schakelen.
Tip: Microsoft Exchange Server gehackt: wat zijn de gevolgen?
8 uur geleden
