2021年1月11日，知名物聯網設備制造商Ubiquiti公司（產品涵蓋路由器、網絡攝像機與安保攝像頭等）宣布遭遇違規事件，使用的第三方云服務遭受入侵，導致大量客戶賬戶憑證意外流出。

　　近日，一位熟悉該事件內情的消息人士表示，Ubiquiti對外刻意削弱了此次事件的“災難性”后果，希望降低對股價的打擊。涉事第三方云服務商也發布聲明，稱 Ubiquiti關于事件起因的說法純屬捏造。

　　Ubiquiti公司的一位安全專家參與處理了這起2020年12月開始為期兩個月的違規事件，他在向Ubiquiti舉報熱線和歐洲數據保護機構上報發現的問題后，又向KrebsOnSecurity進行了曝光。由于不愿公布身份，下文我們將稱這位安全專家為亞當。

　　亞當在致歐洲數據保護機構的函件中寫道，“實際情況比上報內容糟糕得多，應對部門也沒有采取果斷措施以保護客戶權益。此次漏洞非常嚴重，客戶數據意外泄露，全球各企業及家庭中部署的設備普遍面臨威脅。”

　　Ubiquiti并未回應評論請求。

　　核心賬號泄露，云上防線全面淪陷

　　根據亞當的介紹，黑客先是在亞馬遜AWS云上獲得了對Ubiquiti數據庫的完全讀取/寫入訪問權限。而AWS，正是Ubiquiti當初在報告中提到的所謂“第三方云服務商”。亞當寫道，“Ubiquiti故意對自己的違規問題一帶而過，并暗示此次風險是由第三方云服務商所造成，Ubiquiti在其中只是受害者、而非直接攻擊目標。”

　　在1月11日的公告中，Ubiquiti公司表示已經注意到“由第三方云服務商托管的部分信息技術系統遭遇未授權訪問”，但其中并未明確提到所謂第三方的確切身份。

　　但實際上，攻擊者已經掌握了AWS云上對于Ubiquiti服務器的管理訪問權限。這項服務的作用在于保護底層服務器硬件與軟件，但要求云租戶（客戶端）負責保護云端存儲數據的訪問權限。

　　亞當強調，“他們攻擊者獲得了單點登錄Cookie與遠程訪問憑證、全部源代碼控制內容，并成功竊取出簽名密鑰。”

　　攻擊者能夠訪問存儲在Ubiquiti IT員工LastPass賬戶中的高權限憑證，甚至獲得了root管理員權限，因此能夠訪問所有Ubiquiti AWS賬戶，包括全部S3數據存儲桶、全部應用程序日志、全部數據庫、全部用戶數據庫憑證、以及偽造單點登錄（SSO）Cookie所需要的機密信息。

　　這種全面的訪問能力，使得入侵者能夠面向全球范圍內無數接入Ubiquiti云的物聯網設備進行遠程身份驗證。根據官方網站的說明，Ubiquiti迄今已經售出超過8500萬臺設備，分布在全球200多個國家及地區的網絡基礎設施當中。

　　應急處置不力，平臺留下重大隱患

　　亞當表示，Ubiquiti安全團隊早在2020年12月底就收集消息，表示已經有人濫用管理訪問權限創建了多套身份不明的Linux虛擬機。

　　之后，他們發現了入侵者在系統中留下的后門。今年1月初，安全工程師成功刪除了后門賬戶，但入侵方立即做出回應。他們發出一條消息，宣稱Ubiquiti需要支付50個比特幣（約合280萬美元），否則他們將把入侵成功的消息公之于眾。攻擊者還提供了他們竊取到Ubiquiti源代碼的證據，并承諾在收到贖金之后，會向Ubiquiti告知他們留下的另一個后門。

　　Ubiquiti公司并沒有與黑客接觸，事件響應小組最終自行發現了勒索攻擊者在系統中留下的第二個后門。面對緊迫的安全形勢，Ubiquiti開始抓緊時間對全體員工的憑證進行輪換，之后才向客戶發出密碼重置警告。

　　但在亞當看來，Ubiquiti公司1月11日做出的、要求客戶在下次登錄時更改密碼的決定并不靠譜。相反，正確的處置方法應該是立即撤銷所有現有客戶憑證并強制重置所有賬戶，只有這樣才能解除入侵者已經掌握客戶物聯網系統遠程訪問憑證的現實危機。

　　亞當解釋道，“Ubiquiti的日志記錄相當粗枝大葉（無法在數據庫上訪問日志記錄），因此工作人員根本無法證實或證偽入侵者們實際訪問過哪些內容。而對方表示憑證來自數據庫，并成功創建了幾個能夠接入該數據庫的Linux實例。正確的做法顯然應該是覆蓋掉重復請求，強制輪換所有客戶憑證，并在勒索期限之內還原一切設備的訪問許可變更。”

　　3月31日，Ubiquiti公司在用戶論壇上發表一份聲明，稱該公司的專家認為“沒有證據表明客戶信息遭到訪問、或者被故意針對。”

　　但這時候亞當心里非常清楚：Ubiquiti根本就沒有記錄過文件的訪問權限與訪問活動時間，所以這里說的“沒有證據”也不算完全胡說——他們根本就拿不出可靠的訪問日志。

　　Ubiquiti還在聲明中提到：

　　“攻擊者以發布被盜源代碼及部分IT憑證等理由向我們實施勒索，但我們并未屈服，也沒有發現任何客戶信息遭到訪問的跡象。結合其他證據，我們認為客戶數據不是此次攻擊事件的直接目標或起因。”

　　“截至目前，我們有充分的理由相信，犯罪者非常熟悉我們使用的云基礎設施。我們正與執法部門合作推進相關調查，因此暫時無法提供更多事件詳情。”

　　最后

　　如果您目前正在使用Ubiquiti設備，而且在今年1月11日以來還沒有更改過設備上的密碼，請馬上著手更改密碼。

　　我們建議您刪除這些設備上的所有配置文件，確保升級至最新固件版本，而后使用新的（最好是唯一的）憑證重新創建配置文件。另外，請考慮禁用設備上的一切遠程訪問權限。