{"id":251659,"date":"2021-04-01T16:15:00","date_gmt":"2021-04-01T14:15:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251659"},"modified":"2023-09-25T22:48:00","modified_gmt":"2023-09-25T20:48:00","slug":"ubiquiti-hack-gravierender-als-zugegeben","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/01\/ubiquiti-hack-gravierender-als-zugegeben\/","title":{"rendered":"Ubiquiti-Hack gravierender als zugegeben"},"content":{"rendered":"

[English<\/a>]Der im Januar 2021 bekannt gewordene Hack des US-Herstellers Ubiquiti Networks (IoT-Ger\u00e4te, Kameras etc.) war wohl gravierender als vom Unternehmen zugegeben. Die Angreifer sollen Zugriff auf Quellcodes und Credentials gehabt haben. Erg\u00e4nzung<\/strong>: Stellungnahme des Herstellers erg\u00e4nzt.<\/p>\n

<\/p>\n

Wer ist Ubiquiti?<\/h2>\n

\"\"Ubiquiti Networks<\/a> ist ein amerikanischer Hersteller, der seit der Gr\u00fcndung im Jahr 2005 aktive Netzwerkkomponenten wie WLAN-Adapter f\u00fcr PCs vertreibt. Inzwischen wurde die Produktpalette um WLAN-Router, Access Points, WLAN-Antennen und Richtfunkantennen, insbesondere f\u00fcr den Au\u00dfenbereich, erweitert. Seit dem Jahr 2014 hat der Hersteller auch VoIP-Telefone sowie Switche und Netzwerkkameras f\u00fcr den professionellen und semiprofessionellen Einsatz im Angebot. Die WLAN-Router von Ubiquiti basieren auf WLAN-Chips von Atheros und verwenden ein linuxbasiertes Betriebssystem (\u201eairOS\"). Die nanoStation<\/i>-Router sind im Freifunk-Bereich sehr popul\u00e4r, da sie die Nutzung einer eigenen Firmware gestatten. Ubiquiti-Produkte finden sich bei Amazon.de, Conrad und vielen anderen Elektronikh\u00e4ndlern im Angebot. Zudem hat Ubiquiti einen eigenen Shop<\/a>, der auch EU-Kunden beliefert.<\/p>\n

Der Ubiquiti-Hack<\/h2>\n

Im Januar 2021 wurde Ubiquit Opfer eines Cyber-Angriffs, bei dem ein Wochenende deren Cloud-Angebot kurzzeitig gest\u00f6rt war. Dumm: Der Hersteller forciert\/erzwingt scheinbar ein Cloud-Konto zur Verwaltung lokaler Ger\u00e4te-Konten (l\u00e4sst sich aber umgehen, wie auch in folgenden Kommentaren aufgef\u00fchrt). Kunden des Unternehmens erhielten dann eine E-Mail, in denen sie \u00fcber den Vorfall informiert wurden. Sie wurden aufgefordert, vorsorglich ihre Kennw\u00f6rter f\u00fcr die Zug\u00e4nge zu \u00e4ndern, da nicht ausgeschlossen werden k\u00f6nne, dass die Angreifer Zugriff auf pers\u00f6nliche Anmeldedaten hatten.<\/p>\n

\"<\/a><\/p>\n

Ich hatte im Blog-Beitrag Hersteller Ubiquiti gehackt, Nutzer sollten Passw\u00f6rter \u00e4ndern<\/a> \u00fcber diesen Vorfall berichtet, der zwar unsch\u00f6n ist, aber sich doch irgendwie harmlos anh\u00f6rte. Seinerzeit schrieb ich:<\/p>\n

falls jemand also Router, Kameras, T\u00fcrklingeln, Switches oder \u00e4hnliche Produkte dieses Herstellers im Einsatz hat, sollte er die Kennw\u00f6rter (des Cloud-Kontos und ggf. der lokalen Ger\u00e4te) vorsorglich \u00e4ndern. Des weiteren empfehle ich dar\u00fcber nachzudenken, ob ein US-Hersteller, der die Kennwortverwaltung f\u00fcr lokale Zug\u00e4nge per eigenem Cloud-Angebot (quasi) aufdr\u00e4ngt, der richtige Partner sein kann.<\/p><\/blockquote>\n

Einziger Grund f\u00fcr den Einsatz bestimmter Produkte (Funkantennen) dieses Anbieters kann h\u00f6chstens die Eingangs erw\u00e4hnte die M\u00f6glichkeit sein, dort ein eigenes (nanoStation<\/i>-Router-)Betriebssystem auf die Hardware zu flashen.<\/p>\n

Whistleblower verr\u00e4t das Desaster<\/h2>\n

Die Tage bin ich bei Brian Krebs auf den Artikel Whistleblower: Ubiquiti Breach \"Catastrophic\"<\/a>gesto\u00dfen – und von den Vectra AI Cybersecurity-Experten habe ich diese Informationen ebenfalls erhalten. Ein Sicherheitsexperte bei Ubiquiti, von Krebs einfach Adam genannt, hat nun als Whistleblower Details an Krebs weitergegeben und spricht davon, dass das Unternehmensmanagement tats\u00e4chlich einen \u201ekatastrophalen\" Vorfall heruntergespielt haben, um ihre Aktienkurse zu sch\u00fctzen.<\/p>\n

Laut Whistleblower Adam \"war der Versto\u00df massiv, Kundendaten waren gef\u00e4hrdet, der Zugriff auf Kundenger\u00e4te, die in Unternehmen und Privathaushalten auf der ganzen Welt eingesetzt wurden, war gef\u00e4hrdet.\" Der Insider berichtet auch, dass die Hacker vollen Lese- \/ Schreibzugriff auf Ubiquiti-Datenbanken bei AWS erhielten.<\/p>\n

\"Sie waren in der Lage, kryptografische Geheimnisse f\u00fcr Single-Sign-On-Cookies und Remote-Zugriff, vollst\u00e4ndige Quellcode-Kontrollinhalte und die Exfiltration von Signierschl\u00fcsseln zu erhalten\", so Adam. Der Quelle zufolge hatten der oder die Angreifer Zugriff auf privilegierte Anmeldeinformationen, die zuvor im LastPass-Konto eines Ubiquiti IT-Mitarbeiters gespeichert waren. So erlangten sie Root-Administrator-Zugriff auf alle AWS-Konten von Ubiquiti, einschlie\u00dflich aller S3-Daten-Buckets, aller Anwendungsprotokolle, aller Datenbanken, aller Benutzerdatenbank-Anmeldeinformationen und der Geheimnisse, die zum F\u00e4lschen von Single Sign-On (SSO)-Cookies erforderlich sind.<\/p>\n

Ein solcher Zugriff h\u00e4tte es den Eindringlingen, laut den Ausf\u00fchrungen auf Krebs on Security, erm\u00f6glichen k\u00f6nnen, sich aus der Ferne an unz\u00e4hligen Ubiquiti-Cloud-basierten Ger\u00e4ten auf der ganzen Welt zu authentifizieren. Laut seiner Website hat Ubiquiti mehr als 85 Millionen Ger\u00e4te ausgeliefert, die eine Schl\u00fcsselrolle in der Netzwerkinfrastruktur in \u00fcber 200 L\u00e4ndern und Territorien weltweit spielen.<\/p>\n

Einbruch vom Sicherheitsteam entdeckt<\/h3>\n

Aufgefallen ist das wohl nur, weil das Sicherheitsteam von Ubiquiti Ende Dezember 2020 Signale auffing, dass jemand mit administrativem Zugriff mehrere virtuelle Linux-Maschinen eingerichtet hatte, die nicht angemeldet waren. Dann fanden sie eine Hintert\u00fcr, die ein Eindringling im System hinterlassen hatte. Als die Sicherheitstechniker das Konto mit der Hintert\u00fcr in der ersten Januarwoche entfernten, schickten die Angreifer eine Nachricht. Darin forderten die Angreifer 50 Bitcoin (ca. 2,8 Millionen US-Dollar) als Gegenleistung f\u00fcr das Versprechen forderten, \u00fcber den Einbruch zu schweigen. Die Angreifer lieferten auch Beweise daf\u00fcr, dass sie den Quellcode von Ubiquiti gestohlen hatten, und versprachen, den Standort einer weiteren Hintert\u00fcr preiszugeben, falls ihre L\u00f6segeldforderung erf\u00fcllt w\u00fcrde.<\/p>\n

Zwei Hintert\u00fcren entdeckt<\/h3>\n

Ubiquiti lie\u00df sich nicht auf die Hacker ein, so Adam, und schlie\u00dflich fand das Incident Response Team die zweite Backdoor, die die Erpresser im System hinterlassen hatten. Das Unternehmen verbrachte die n\u00e4chsten Tage damit, die Zugangsdaten aller Mitarbeiter zu erneuern, bevor Ubiquiti damit begann, die Kunden dar\u00fcber zu informieren, dass sie ihre Passw\u00f6rter zur\u00fccksetzen m\u00fcssen. Hier h\u00e4tte Ubiquiti sofort alle Kundenkonten zur\u00fccksetzen m\u00fcssen, weil die Eindringliche ja bereits \u00fcber Anmeldedaten f\u00fcr den Fernzugriff auf die IoT-Systeme der Kunden verf\u00fcgten. Andreas M\u00fcller, Director DACH beim IT-Sicherheitsanbieter Vectra AI kommentiert die neuen Informationen:<\/p>\n

Der Whistleblower der Ubiquiti-Datenschutzverletzung liefert eine pr\u00e4zise Beschreibung des Ausma\u00dfes und der Wucht des Angriffs. Laut dem Whistleblower hat der Angreifer \u201emehrere virtuelle Linux-Maschinen\" eingerichtet. Dies ist eine sehr ungew\u00f6hnliche Angriffsmethode, aber eine sehr einfache M\u00f6glichkeit, innerhalb einer Organisation Fu\u00df zu fassen. Die Folgen dieses Angriffs \u00e4hneln denen des \u201eSunburst\" -Angriffs [Orion-Software]. Sobald der T\u00e4ter Zugriff auf die Infrastruktur und die Netzwerkverwaltungskonsole hat, kann er tun, was er will.<\/p><\/blockquote>\n

Laut M\u00fcller versuchen Angreifer zunehmend, auf Cloud-Dienste von Anbietern zuzugreifen, um Zugang zu einer gro\u00dfen Anzahl von Unternehmen zu erhalten. M\u00fcller erwartet einen starken Anstieg dieser Arten von Angriffen, da viele Unternehmen dabei sind oder auf AWS \/ Azure \/ GCP-Clouds umsteigen oder umgestiegen sind. Dieser Angriff unterstreicht laut M\u00fcller das allgemeine Risiko der Verwendung von SaaS-Angeboten und die Bedeutung von Zertifizierungen wie der SOC2-Typ2-Konformit\u00e4t.<\/p>\n

Die Verantwortung f\u00fcr die Cloud-Absicherung<\/h2>\n

M\u00fcller schreibt: AWS sei sich sehr klar \u00fcber das von ihnen bereitgestellte Modell der geteilten Verantwortung. AWS sei aber nicht daf\u00fcr verantwortlich, den Zugang zu ihrem Dienst zu sichern, Ubiquiti ist hier in der Pflicht. Der Mangel an Verantwortung von Ubiquiti und die bisherige Antwort stellen, laut M\u00fcller, vermutlich das Vertrauen in Frage, das Kunden in ihren Service setzen werden.<\/p>\n

So hat Ubiquiti noch das Problem, dass keine Zugriffsprotokolle f\u00fcr die Daten vorhanden sind. Es l\u00e4sst sich also nicht herausfinden, ob Zugriffe auf die Kundendaten erfolgten. Weitere Details zum Ubiquiti-Fall lassen sich bei Brian Krebs nachlesen.<\/p>\n

Ubiquiti best\u00e4tigt Angriffsversuch<\/h2>\n

Erg\u00e4nzung: <\/strong>Inzwischen hat Ubiquiti, wohl auf Grund dieser Berichterstattung f\u00fcr die wahren Folgen des Ausma\u00dfes die nachfolgende Stellungnahme<\/a> herausgegeben (Bleeping Computer hat das hier<\/a> aufgegriffen).<\/p>\n

Update to January 2021 Account Notification<\/p>\n

As we informed you on January 11, we were the victim of a cybersecurity incident that involved unauthorized access to our IT systems. Given the reporting by Brian Krebs, there is newfound interest and attention in this matter, and we would like to provide our community with more information.<\/p>\n

At the outset, please note that nothing has changed with respect to our analysis of customer data and the security of our products since our notification on January 11. In response to this incident, we leveraged external incident response experts to conduct a thorough investigation to ensure the attacker was locked out of our systems.<\/p>\n

These experts identified no evidence that customer information was accessed, or even targeted. The attacker, who unsuccessfully attempted to extort the company by threatening to release stolen source code and specific IT credentials, never claimed to have accessed any customer information. This, along with other evidence, is why we believe that customer data was not the target of, or otherwise accessed in connection with, the incident.<\/p>\n

At this point, we have well-developed evidence that the perpetrator is an individual with intricate knowledge of our cloud infrastructure. As we are cooperating with law enforcement in an ongoing investigation, we cannot comment further.<\/p>\n

All this said, as a precaution, we still encourage you to change your password if you have not already done so, including on any website where you use the same user ID or password. We also encourage you to enable two-factor authentication on your Ubiquiti accounts if you have not already done so.<\/p>\n

Thanks,<\/p>\n

Team UI<\/p><\/blockquote>\n

Der Kernsatz, dass sich nichts gegen\u00fcber der urspr\u00fcnglichen Bekanntgabe des Hacks f\u00fcr die Kunden ge\u00e4ndert habe. Und man habe keine Beweise gefunden, dass auf Kundeninformationen zugegriffen worden sei. Hier sollte man sich den Satz So hat Ubiquiti noch das Problem, dass keine Zugriffsprotokolle f\u00fcr die Daten vorhanden sind. <\/em>aus dem obigen Text zu Gem\u00fcte f\u00fchren. In der Stellungnahme hat Ubiquiti zwar nicht gelogen, als sie schrieben \"man habe keine Beweise, dass auf Kundendaten zugegriffen worden sei\". Aber sie haben auch keine Beweise, dass es keine Zugriffe gab – oder deutlicher: Sie wissen es nicht. Unter diesem Aspekt ist die obige Stellungnahme imho eine Nebelkerze und jeder Kunde sollte sich die Frage nach dem Vertrauen in diesen Hersteller stellen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der im Januar 2021 bekannt gewordene Hack des US-Herstellers Ubiquiti Networks (IoT-Ger\u00e4te, Kameras etc.) war wohl gravierender als vom Unternehmen zugegeben. Die Angreifer sollen Zugriff auf Quellcodes und Credentials gehabt haben. Erg\u00e4nzung: Stellungnahme des Herstellers erg\u00e4nzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-251659","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251659","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251659"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251659\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251659"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251659"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251659"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}