Des utilisateurs d’Ubiquiti ont pu accéder aux routeurs et caméras d’autres utilisateurs !
Panique chez Ubiquiti : certains utilisateurs indiquent qu'ils ont accès aux appareils réseau d'autres personnes par l'intermédiaire des services Cloud UniFi. Il peut s'agit de routeurs, de points d'accès Wi-Fi mais également de caméras de surveillance. Que se passe-t-il ?
Pour rappel, Ubiquiti est une marque d'équipements réseau populaire qui met notamment à disposition de ses utilisateurs un portail de gestion Cloud nommé UniFi permettant d'administrer l'ensemble de son réseau et de ses équipements.
Mercredi 13 décembre 2023, de premiers signalements d'utilisateurs ont commencé à voir le jour sur Internet, que ce soit sur Reddit ou sur le forum officiel d'Ubiquiti. Un utilisateur affirme qu'il a reçu une notification de la part d'une caméra suite à la détection d'un mouvement, sauf qu'il affirme que cette caméra ne lui appartient pas. Forcément, ceci interroge (et inquiète).
Un autre utilisateur affirme qu'à partir de son compte UniFi, il avait accès à un ensemble de 88 appareils, comme s'il s'agissait des siens ! "Je me suis récemment connecté à https://unifi.ui.com/consoles pour accéder à mes consoles, comme je le fais tous les jours. Cependant, cette fois-ci, on m'a présenté 88 consoles provenant d'un autre compte. J'avais un accès complet à ces consoles, comme je le ferais avec les miennes.", témoigne l'utilisateur. D'autres utilisateurs affirment qu'ils ont eu un accès complet à l'UDM Pro d'un autre utilisateur, permettant de modifier la configuration du réseau (création d'un nouveau réseau WiFi, par exemple).
D'où vient le problème ?
Suite à ces nombreux signalements, Ubiquiti a mené une enquête en interne pour identifier la cause du problème. Il s'avère que ce problème est lié à une mauvaise configuration appliquée lors d'une mise à niveau de l'infrastructure Cloud d'UniFi.
D'ailleurs, Ubiquiti précise qu'un premier groupe de 1 216 comptes a été associé avec un second groupe de 1 177 comptes. Résultat, cette mauvaise configuration a permis aux comptes du deuxième groupe de recevoir les notifications de comptes du premier groupe, mais aussi d'avoir accès aux équipements.
Ubiquiti indique que ce problème s'est produit le 13 décembre, entre 6:47 et 15:45 (UTC). Désormais, ce bug a été corrigé par les équipes techniques d'Ubiquiti. Les utilisateurs impactés seront notifiés par e-mail dans les prochains jours.
Flippant, je ne sais pas si c’est possible, mais j’aime beaucoup la solution de Omada permettant de configurer sa propre VM sur le cloud plutôt que passer par leurs serveurs… Peux-être est-ce aussi possible sur Ubiquiti, je ne me suis jamais renseigné.