近亿台物联网设备或遭劫持,这家IoT云平台遭遇“灾难性”入侵事件

来源:互联网安全内参

参考来源:krebsonsecurity.com

编译:安全内参

近日,一位熟悉该事件内情的消息人士表示,Ubiquiti对外刻意削弱了此次事件的“灾难性”后果,希望降低对股价的打击。涉事第三方云服务商也发布声明,称 Ubiquiti关于事件起因的说法纯属捏造。

Ubiquiti公司的一位安全专家参与处理了这起2020年12月开始为期两个月的违规事件,他在向Ubiquiti举报热线和欧洲数据保护机构上报发现的问题后,又向KrebsOnSecurity进行了曝光。由于不愿公布身份,下文我们将称这位安全专家为亚当。

 

亚当在致欧洲数据保护机构的函件中写道,“实际情况比上报内容糟糕得多,应对部门也没有采取果断措施以保护客户权益。此次漏洞非常严重,客户数据意外泄露,全球各企业及家庭中部署的设备普遍面临威胁。

Ubiquiti并未回应评论请求。

核心账号泄露,云上防线全面沦陷

 

根据亚当的介绍,黑客先是在亚马逊AWS云上获得了对Ubiquiti数据库的完全读取/写入访问权限。而AWS,正是Ubiquiti当初在报告中提到的所谓“第三方云服务商”。亚当写道,“Ubiquiti故意对自己的违规问题一带而过,并暗示此次风险是由第三方云服务商所造成,Ubiquiti在其中只是受害者、而非直接攻击目标。”

在1月11日的公告中,Ubiquiti公司表示已经注意到“由第三方云服务商托管的部分信息技术系统遭遇未授权访问”,但其中并未明确提到所谓第三方的确切身份。

但实际上,攻击者已经掌握了AWS云上对于Ubiquiti服务器的管理访问权限。这项服务的作用在于保护底层服务器硬件与软件,但要求云租户(客户端)负责保护云端存储数据的访问权限。

亚当强调,“他们攻击者获得了单点登录Cookie与远程访问凭证、全部源代码控制内容,并成功窃取出签名密钥。”

攻击者能够访问存储在Ubiquiti IT员工LastPass账户中的高权限凭证,甚至获得了root管理员权限,因此能够访问所有Ubiquiti AWS账户,包括全部S3数据存储桶、全部应用程序日志、全部数据库、全部用户数据库凭证、以及伪造单点登录(SSO)Cookie所需要的机密信息。

这种全面的访问能力,使得入侵者能够面向全球范围内无数接入Ubiquiti云的物联网设备进行远程身份验证。根据官方网站的说明,Ubiquiti迄今已经售出超过8500万台设备,分布在全球200多个国家及地区的网络基础设施当中。

应急处置不力,平台留下重大隐患

 

亚当表示,Ubiquiti安全团队早在2020年12月底就收集消息,表示已经有人滥用管理访问权限创建了多套身份不明的Linux虚拟机。

之后,他们发现了入侵者在系统中留下的后门。今年1月初,安全工程师成功删除了后门账户,但入侵方立即做出回应。他们发出一条消息,宣称Ubiquiti需要支付50个比特币(约合280万美元),否则他们将把入侵成功的消息公之于众。攻击者还提供了他们窃取到Ubiquiti源代码的证据,并承诺在收到赎金之后,会向Ubiquiti告知他们留下的另一个后门。

Ubiquiti公司并没有与黑客接触,事件响应小组最终自行发现了勒索攻击者在系统中留下的第二个后门。面对紧迫的安全形势,Ubiquiti开始抓紧时间对全体员工的凭证进行轮换,之后才向客户发出密码重置警告。

但在亚当看来,Ubiquiti公司1月11日做出的、要求客户在下次登录时更改密码的决定并不靠谱。相反,正确的处置方法应该是立即撤销所有现有客户凭证并强制重置所有账户,只有这样才能解除入侵者已经掌握客户物联网系统远程访问凭证的现实危机。

亚当解释道,“Ubiquiti的日志记录相当粗枝大叶(无法在数据库上访问日志记录),因此工作人员根本无法证实或证伪入侵者们实际访问过哪些内容。而对方表示凭证来自数据库,并成功创建了几个能够接入该数据库的Linux实例。正确的做法显然应该是覆盖掉重复请求,强制轮换所有客户凭证,并在勒索期限之内还原一切设备的访问许可变更。”

3月31日,Ubiquiti公司在用户论坛上发表一份声明,称该公司的专家认为“没有证据表明客户信息遭到访问、或者被故意针对。”

但这时候亚当心里非常清楚:Ubiquiti根本就没有记录过文件的访问权限与访问活动时间,所以这里说的“没有证据”也不算完全胡说——他们根本就拿不出可靠的访问日志。

Ubiquiti还在声明中提到:

“攻击者以发布被盗源代码及部分IT凭证等理由向我们实施勒索,但我们并未屈服,也没有发现任何客户信息遭到访问的迹象。结合其他证据,我们认为客户数据不是此次攻击事件的直接目标或起因。”

“截至目前,我们有充分的理由相信,犯罪者非常熟悉我们使用的云基础设施。我们正与执法部门合作推进相关调查,因此暂时无法提供更多事件详情。”

最后

如果您目前正在使用Ubiquiti设备,而且在今年1月11日以来还没有更改过设备上的密码,请马上着手更改密码。

我们建议您删除这些设备上的所有配置文件,确保升级至最新固件版本,而后使用新的(最好是唯一的)凭证重新创建配置文件。另外,请考虑禁用设备上的一切远程访问权限。

未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)云脑研究计划,构建互联网(城市)云脑技术和企业图谱,为提升企业,行业与城市的智能水平服务。

  如果您对实验室的研究感兴趣,欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/484941.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

国产光刻设备第一股:从官司缠身到国产希望?

来源:传感器技术作者:温淑编辑:心缘科创板“国产直写光刻设备第一股”正式登陆A股市场!在经过约10个月的审查后,国产半导体设备供应商合肥芯碁微装终于在4月1日正式敲钟,首次公开发行A股约3220万股&#xf…

揭秘卫星互联网!6G关键技术,国内行业雏形初现

来源:智东西编辑: 智东西内参5G的已经全面展开商用,人类的通信技术再一次走上了快速发展期。未来,随着火箭回收、低轨卫星和6G技术的发展,科幻式的通信方式似乎离我们也不远了。2019 年工信部成立了 6G 研究组&#xf…

图灵奖得主Jeff Ullman直言:机器学习不是数据科学的全部!统计学也不是

来源:智源社区作者:Jeff Ullman编译:梦佳1Have we missed the boat again? 多年来,数据库领域有一种言论认为,数据库系统正在变得无关紧要。 大家似乎持一种绝望的心态。“have we missed the boat-again”这句话&…

Leetcode--1028. 从先序遍历还原二叉树(Java)

我们从二叉树的根节点 root 开始进行深度优先搜索。 在遍历中的每个节点处,我们输出 D 条短划线(其中 D 是该节点的深度),然后输出该节点的值。(如果节点的深度为 D,则其直接子节点的深度为 D 1。根节点的…

赛迪展望 | 一文了解“2021年中国先进计算产业发展趋势”

来源:中国电子信息产业发展研究院内容提要人类社会的组织、生产和生活方式正伴随着计算技术创新、融合、扩散、升级,呈现深刻的变革趋势。计算对经济社会发展和产业能级跃升的驱动作用日益凸显。展望2021年,先进、新型的计算基础架构&#xf…

物理如何证明上帝的存在?

来源:利维坦文:Monica Grady译:苦山校对:兔子的凌波微步原文:www.bbc.com/future/article/20210301-how-physics-could-prove-god-exists“我曾在一次研讨会上听到下面这个问题——当时我还相信上帝(现在我…

XSS攻击的防御

XSS攻击的防御 XSS 攻击是什么 XSS 又称 CSS,全称 Cross SiteScript,跨站脚本攻击,是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有 XSS 漏洞的网站中输入…

【前沿技术】2021年AI将改变制造业的6大应用趋势

来源:智能研究院 如今制造行业流行的是什么?我想,这可少不了“数字转换”、“工业4.0”、“人工智能(AI)”...下面,就让我们一起看看AI如何改变制造业。▍一、用于缺陷检测的深度学习在制造中,生产线中的缺陷检测过程变得越来越…

MarkDown/Html在线转换(支持代码高亮,可复制到微信公众号、今日头条)

MarkDown/Html在线转换能够将md渲染成html并且能保持代码高亮,可以方便的复制待格式的html粘贴到微信公众号,CSDN,简书,博客园,开源中国等。 扫码体验在线助手小程序 我是java代码public static void main(String[] ar…

脑机接口简史——假如这篇推送是你靠意念打开的

来源:脑极体未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)云脑研究计划,构建互联网(城市)云脑技术和企业图谱&a…

一文读懂深度学习中的各种卷积

来源:海豚数据科学实验室编辑:王萌(深度学习冲鸭公众号)我们都知道卷积的重要性,但你知道深度学习领域的卷积究竟是什么,又有多少种类吗?研究学者 Kunlun Bai 发布了一篇介绍深度学习的卷积文章,用浅显易懂…

为什么信不过AI看病?数据集小、可靠性差,AI医疗任重道远

来源:机器之心近年来,AI 在医疗诊断中的应用受到了越来越多的关注,也出现了一些实际的应用场景,如药物筛选、AI 诊断。但似乎正确的 AI 医疗诊断难以实现,这是哪些原因造成的呢?本文探讨并汇总了人们对 AI …

人工智能学派之间的「联姻」——Yoshua 新作居然用DL「复活」了符号主义

来源:混沌巡洋舰 近日,Yoshua Bengio及其团队利用深度学习,开发出了一套可以揭示丰富视觉环境中的潜在规则的「神经生产系统」,使得现在暂时沉寂的符号人工智能重新恢复了活力。相信大家都知道,目前人工智能的主要学派…

25万亿规模!中国智慧城市建设刚需在哪?

来源:帮尼资讯如果说当下在中国新基建中最火的名词是什么,智慧城市这四个字几乎脱口而出。而在雪亮工程已经基本结束的当下,智慧城市接过了雪亮工程的大旗,成为了对安防企业来说利润最大、保障最稳的政府类项目。前瞻产业研究院预…

浅析Serverless

近两年来,Serverless 概念在开发者中交流的越来越多,主题分享呈现爆发趋势。有人说:Serverless 正在改变未来软件开发的模式和流程,它就是云计算的未来。 在一个应用中包含了多个功能,如订单创建、订单查询和订单修改…

复兴or幻象?VR的2021三重门

来源:脑极体从2020年底开始,无论你日常看一些数码博主的评测,还是喜欢了解科技产业的动态、投融资的报道,都能在媒体中了解到这么一个信号:2021,VR复兴了!当然,这个表述有很多说法&a…

24张GIF图,让你秒懂非标自动化机构的原理

来源:工业机器人1.组合加紧机构↓↓2.凸轮连杆组合输送薄板机构↓↓3.热合联动↓↓4.凸轮双摇杆机构单独运动↓↓5.步进输送机构↓↓6.输出构件作间歇运动↓↓7.输出构件作间歇运动等宽凸轮间歇移动机构↓↓8.双摇杆夹紧机构↓↓9.不自锁推拉式夹紧机构↓↓10.双肘杆…

机器学习的通俗讲解

来源:dataxon译者:Ahong机器学习人人都在谈论,但除了老师们知根知底外,只有很少的人能说清楚怎么回事。如果阅读网上关于机器学习的文章,你很可能会遇到两种情况:充斥各种定理的厚重学术三部曲(我搞定半个定…

边缘计算有哪些关键技术?

来源:智东西、金融界等网站原文链接:https://mp.weixin.qq.com/s/5QAHPMM8SNE3J8fpmDKFaQ如果要问物联网圈最火的概念有哪些?5G与边缘计算一定榜上有名,两者看似风马牛不相及,实则却在冥冥之中自有交集。5G时代&#x…

论文《城市大脑的定义与建设规范探讨》在IEEE(ICBAIE)发表

来源:城市大脑全球标准研究组城市大脑全球标准研究组论文《Discussion on the Definition and Construction Principles of City Brain》,2021年3月在2021 IEEE 2nd International Conference on Big Data, Artificial Intelligence and Internet of Thi…