2021年1月11日,，知名物聯(lián)網(wǎng)設(shè)備制造商Ubiquiti公司（產(chǎn)品涵蓋路由器、網(wǎng)絡(luò)攝像機(jī)與安保攝像頭等）宣布遭遇違規(guī)事件,，使用的第三方云服務(wù)遭受入侵，導(dǎo)致大量客戶賬戶憑證意外流出。

　　近日,，一位熟悉該事件內(nèi)情的消息人士表示，Ubiquiti對(duì)外刻意削弱了此次事件的“災(zāi)難性”后果,，希望降低對(duì)股價(jià)的打擊,。涉事第三方云服務(wù)商也發(fā)布聲明，稱(chēng) Ubiquiti關(guān)于事件起因的說(shuō)法純屬捏造,。

　　Ubiquiti公司的一位安全專(zhuān)家參與處理了這起2020年12月開(kāi)始為期兩個(gè)月的違規(guī)事件,，他在向Ubiquiti舉報(bào)熱線和歐洲數(shù)據(jù)保護(hù)機(jī)構(gòu)上報(bào)發(fā)現(xiàn)的問(wèn)題后，又向KrebsOnSecurity進(jìn)行了曝光,。由于不愿公布身份,，下文我們將稱(chēng)這位安全專(zhuān)家為亞當(dāng)。

　　亞當(dāng)在致歐洲數(shù)據(jù)保護(hù)機(jī)構(gòu)的函件中寫(xiě)道,，“實(shí)際情況比上報(bào)內(nèi)容糟糕得多,，應(yīng)對(duì)部門(mén)也沒(méi)有采取果斷措施以保護(hù)客戶權(quán)益。此次漏洞非常嚴(yán)重,，客戶數(shù)據(jù)意外泄露,，全球各企業(yè)及家庭中部署的設(shè)備普遍面臨威脅?！?/p>

　　Ubiquiti并未回應(yīng)評(píng)論請(qǐng)求,。

　　核心賬號(hào)泄露，云上防線全面淪陷

　　根據(jù)亞當(dāng)?shù)慕榻B,，黑客先是在亞馬遜AWS云上獲得了對(duì)Ubiquiti數(shù)據(jù)庫(kù)的完全讀取/寫(xiě)入訪問(wèn)權(quán)限,。而AWS，正是Ubiquiti當(dāng)初在報(bào)告中提到的所謂“第三方云服務(wù)商”,。亞當(dāng)寫(xiě)道,，“Ubiquiti故意對(duì)自己的違規(guī)問(wèn)題一帶而過(guò)，并暗示此次風(fēng)險(xiǎn)是由第三方云服務(wù)商所造成,，Ubiquiti在其中只是受害者,、而非直接攻擊目標(biāo)?！?/p>

　　在1月11日的公告中,，Ubiquiti公司表示已經(jīng)注意到“由第三方云服務(wù)商托管的部分信息技術(shù)系統(tǒng)遭遇未授權(quán)訪問(wèn)”，但其中并未明確提到所謂第三方的確切身份,。

　　但實(shí)際上,，攻擊者已經(jīng)掌握了AWS云上對(duì)于Ubiquiti服務(wù)器的管理訪問(wèn)權(quán)限。這項(xiàng)服務(wù)的作用在于保護(hù)底層服務(wù)器硬件與軟件，但要求云租戶（客戶端）負(fù)責(zé)保護(hù)云端存儲(chǔ)數(shù)據(jù)的訪問(wèn)權(quán)限,。

　　亞當(dāng)強(qiáng)調(diào),，“他們攻擊者獲得了單點(diǎn)登錄Cookie與遠(yuǎn)程訪問(wèn)憑證、全部源代碼控制內(nèi)容,，并成功竊取出簽名密鑰,。”

　　攻擊者能夠訪問(wèn)存儲(chǔ)在Ubiquiti IT員工LastPass賬戶中的高權(quán)限憑證,，甚至獲得了root管理員權(quán)限,，因此能夠訪問(wèn)所有Ubiquiti AWS賬戶，包括全部S3數(shù)據(jù)存儲(chǔ)桶,、全部應(yīng)用程序日志,、全部數(shù)據(jù)庫(kù)、全部用戶數(shù)據(jù)庫(kù)憑證,、以及偽造單點(diǎn)登錄（SSO）Cookie所需要的機(jī)密信息,。

　　這種全面的訪問(wèn)能力，使得入侵者能夠面向全球范圍內(nèi)無(wú)數(shù)接入U(xiǎn)biquiti云的物聯(lián)網(wǎng)設(shè)備進(jìn)行遠(yuǎn)程身份驗(yàn)證,。根據(jù)官方網(wǎng)站的說(shuō)明,，Ubiquiti迄今已經(jīng)售出超過(guò)8500萬(wàn)臺(tái)設(shè)備，分布在全球200多個(gè)國(guó)家及地區(qū)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施當(dāng)中,。

　　應(yīng)急處置不力,，平臺(tái)留下重大隱患

　　亞當(dāng)表示，Ubiquiti安全團(tuán)隊(duì)早在2020年12月底就收集消息,，表示已經(jīng)有人濫用管理訪問(wèn)權(quán)限創(chuàng)建了多套身份不明的Linux虛擬機(jī),。

　　之后，他們發(fā)現(xiàn)了入侵者在系統(tǒng)中留下的后門(mén),。今年1月初,，安全工程師成功刪除了后門(mén)賬戶，但入侵方立即做出回應(yīng),。他們發(fā)出一條消息,，宣稱(chēng)Ubiquiti需要支付50個(gè)比特幣（約合280萬(wàn)美元），否則他們將把入侵成功的消息公之于眾,。攻擊者還提供了他們竊取到Ubiquiti源代碼的證據(jù),，并承諾在收到贖金之后，會(huì)向Ubiquiti告知他們留下的另一個(gè)后門(mén),。

　　Ubiquiti公司并沒(méi)有與黑客接觸,，事件響應(yīng)小組最終自行發(fā)現(xiàn)了勒索攻擊者在系統(tǒng)中留下的第二個(gè)后門(mén)。面對(duì)緊迫的安全形勢(shì),，Ubiquiti開(kāi)始抓緊時(shí)間對(duì)全體員工的憑證進(jìn)行輪換，之后才向客戶發(fā)出密碼重置警告。

　　但在亞當(dāng)看來(lái),，Ubiquiti公司1月11日做出的,、要求客戶在下次登錄時(shí)更改密碼的決定并不靠譜。相反,，正確的處置方法應(yīng)該是立即撤銷(xiāo)所有現(xiàn)有客戶憑證并強(qiáng)制重置所有賬戶,，只有這樣才能解除入侵者已經(jīng)掌握客戶物聯(lián)網(wǎng)系統(tǒng)遠(yuǎn)程訪問(wèn)憑證的現(xiàn)實(shí)危機(jī)。

　　亞當(dāng)解釋道,，“Ubiquiti的日志記錄相當(dāng)粗枝大葉（無(wú)法在數(shù)據(jù)庫(kù)上訪問(wèn)日志記錄）,，因此工作人員根本無(wú)法證實(shí)或證偽入侵者們實(shí)際訪問(wèn)過(guò)哪些內(nèi)容。而對(duì)方表示憑證來(lái)自數(shù)據(jù)庫(kù),，并成功創(chuàng)建了幾個(gè)能夠接入該數(shù)據(jù)庫(kù)的Linux實(shí)例,。正確的做法顯然應(yīng)該是覆蓋掉重復(fù)請(qǐng)求，強(qiáng)制輪換所有客戶憑證,，并在勒索期限之內(nèi)還原一切設(shè)備的訪問(wèn)許可變更,。”

　　3月31日,，Ubiquiti公司在用戶論壇上發(fā)表一份聲明,，稱(chēng)該公司的專(zhuān)家認(rèn)為“沒(méi)有證據(jù)表明客戶信息遭到訪問(wèn)、或者被故意針對(duì),?！?/p>

　　但這時(shí)候亞當(dāng)心里非常清楚：Ubiquiti根本就沒(méi)有記錄過(guò)文件的訪問(wèn)權(quán)限與訪問(wèn)活動(dòng)時(shí)間，所以這里說(shuō)的“沒(méi)有證據(jù)”也不算完全胡說(shuō)——他們根本就拿不出可靠的訪問(wèn)日志,。

　　Ubiquiti還在聲明中提到：

　　“攻擊者以發(fā)布被盜源代碼及部分IT憑證等理由向我們實(shí)施勒索,，但我們并未屈服，也沒(méi)有發(fā)現(xiàn)任何客戶信息遭到訪問(wèn)的跡象,。結(jié)合其他證據(jù),，我們認(rèn)為客戶數(shù)據(jù)不是此次攻擊事件的直接目標(biāo)或起因?！?/p>

　　“截至目前,，我們有充分的理由相信，犯罪者非常熟悉我們使用的云基礎(chǔ)設(shè)施,。我們正與執(zhí)法部門(mén)合作推進(jìn)相關(guān)調(diào)查,，因此暫時(shí)無(wú)法提供更多事件詳情?！?/p>

　　最后

　　如果您目前正在使用Ubiquiti設(shè)備,，而且在今年1月11日以來(lái)還沒(méi)有更改過(guò)設(shè)備上的密碼，請(qǐng)馬上著手更改密碼,。

　　我們建議您刪除這些設(shè)備上的所有配置文件,，確保升級(jí)至最新固件版本,，而后使用新的（最好是唯一的）憑證重新創(chuàng)建配置文件。另外,，請(qǐng)考慮禁用設(shè)備上的一切遠(yuǎn)程訪問(wèn)權(quán)限,。