Ubiquiti : d’après un lanceur d’alerte, la fuite de données serait catastrophique !
Début janvier, Ubiquiti Networks avait révélé à ses clients qu'une personne malintentionnée avait pu accéder à certaines parties de l'infrastructure hébergée chez Amazon, sur le cloud AWS. Ubiquiti semble avoir minimisé cette intrusion puisqu'un professionnel qui a travaillé sur le dossier est sorti de son silence et il affirme que la fuite de données serait catastrophique.
Pour rappel, Ubiquiti Networks est une société qui fabrique de nombreux équipements tels que des routeurs, des caméras, des bornes Wi-Fi, des switchs, etc... avec notamment la gamme de produits UniFi. Les clients peuvent gérer leurs appareils Ubiquiti à partir de la plateforme Web ui.com. Ubiquiti représente des dizaines de millions d'appareils déployés à travers le monde.
Un lanceur d'alerte anonyme et qui s'est présenté sous le nom de Brian Krebs, affirme que l'intrusion est grave et que la fuite de données serait catastrophique. Il affirme avoir travaillé sur le sujet avec Ubiquiti, en tant que professionnel de la sécurité.
Plus précisément, d'après lui, les pirates ont réussi à s'introduire sur l'infrastructure AWS d'Ubiquiti et ils ont pu obtenir les privilèges "root" sur les machines Linux. De cette manière, ils ont eu accès aux buckets S3, aux bases de données, aux journaux d'application, ainsi que les informations d'identification des utilisateurs. En décembre 2020, Ubiquiti a retrouvé la présence de machines virtuelles Linux installées par le hacker lui-même. À la suite des investigations, ils ont pu découvrir une porte dérobée puis elle a été supprimée en janvier.
Pour garder le silence, le pirate aurait demandé 50 bitcoins à Ubiquiti et pour prouver qu'il s'était bien introduit, il a montré qu'il avait pu exfiltrer le code source des équipements Ubiquiti. En fait, Ubiquiti n'a pas payé la rançon et a fait la découverte d'une seconde porte dérobée par la suite.
De son côté, Ubiquiti a réagi suite à ces annonces du lanceur d'alerte : il y a bien eu une violation de la sécurité en janvier, ainsi qu'une tentative d'extorsion. Néanmoins, l'entreprise ne confirme pas les accusations de Brian Krebs quant aux données auxquelles à pu accéder le hacker (ou les hackers) et la fuite du code source d'équipements Ubiquiti.
Une enquête approfondie est en cours avec les forces de l'ordre, car visiblement ce qui est étonnant, c'est que l'attaquant connaît particulièrement bien l'infrastructure Cloud d'Ubiquiti.
Ubiquiti recommande à ses clients de modifier leur mot de passe et d'activer l'authentification multifacteurs sur leurs comptes. Cependant, il n'est pas précisé si le pirate a pu accéder aux équipements des clients, mais c'est une recommandation, par précaution.
Utilisez-vous les équipements Ubiquiti ?
