안녕하세요.
며칠전 Krebs on Security 사이트에 몇달전 있었던 Ubiquiti security breach에 대한 글이 새롭게 올라왔습니다. 당시에 Ubiquiti에서는 별거 아닌 것처럼 얘기하고 그냥 비번이나 바꾸세요 정도로 넘어 갔었는데요. 이번에 내부고발자가 제보한 내용에 따르면 가히 충격적입니다.
참고로 Ubiquiti는 prosumer, small business에서 인기이고 네트웍계의 애플로 불릴 정도로 팬이 있는 회사입니다. 실제 ex-애플 인력이 만들기도 했지만요. 이전 글들보면 마모에도 Ubiquiti 장비를 쓰시는 분들이 꽤 계신 것으로 아는데요. 저뿐 아니라 많은 사람들이 최근들어서, 특히 코비드 시국에 정말 회사가 이상한 방향으로 가고 있다고 많이들 얘기하고 있었죠.
어떻든 다시 내용으로 돌아와서 자세한 내용은 아래의 포스팅에서 보실 수 있습니다.
https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/
핵심만 추려보면 이전 발표에서는 그냥 단순한 third-party 서버의 unauthorized access였다고 말했던 것이 실제로는 Ubiquiti 자체의 AWS 서버에 있던 모든 것이 그냥 탈탈 털린 것이었습니다.
"They were able to get cryptographic secrets for single sign-on cookies and remote access, full source code control contents, and signing keys exfiltration."
더 황당한 것은 어태커가 한 내부 직원의 LastPass에 저장되어 있던 걸로 root 권한을 획득하고 모든 ubiquiti account 정보를 억세스할 수 있었다는 것입니다. 2FA도 안전하지 않아 보입니다.
"gained root administrator access to all Ubiquiti AWS accounts, including all S3 data buckets, all application logs, all databases, all user database credentials, and secrets required to forge single sign-on (SSO) cookies"
그래서 ubiquiti account 있으신 분들은 1월 달에 메일 받고 비번 바꾸셨더라도 다시 한번 바꾸시길 권장드립니다.
1. 비밀번호 변경
2. 2FA 안 쓰고 계시면 enable하세요. 만약 이미 쓰고 계시다면 disable하고 다시 enable 하세요.
3. 꼭 필요없으시다면 unifi.ui.com 통한 Remote Access를 disable 하세요.
워낙에 Ubiquiti의 라우팅 장비들이 별로라서 언젠간 바꿔야지하고 OPNsense하고 PfSense 깔아서 설정도 해보고 미니컴도 사 놓긴 했었는데요. 이건 뭐 전부다 집에서 있다보니 실행을 못하고 있었는데 이번 여름엔 정말 며칠 날 잡아서 바꿀까 합니다. 그래도 AP 같은 것들은 당장 바꾸기 그렇고 재활용하긴 해야겠지만요. 어느 회사제품으로 가야할 지 좀 연구를 해봐야할 거 같네요.
어우... 좀 심한데요? 저도 유비쿼티 AP는 좋아라 많이 쓰고 있는데 이젠 다시 좀 고민해봐야겠네요.
저도 무료 컨트롤러와 AP 때문에... 가격이 깡패이긴 합니다.
Unifi 기기 쓰고 있는데..
저번 1월에 일어난 일이 생각보다 심각했었군요. 저야 뭐..털려봐야 아무것도 없지만 enterprise level 은 꽤나 타격이 있겠네요.
혹시 몰라서 2FA 활성화 시켰습니다.
ubiquity 에서 요즘 웹켐이나 시큐리티쪽으로 사업을 확장하고 있는데, 이런 일이 (루머일지도..?) 자꾸 터지면 사업하는데 타격이 꽤 있겠습니다.
Ubiquiti에서 이 기사에 대해서 부인하지 않고 있어서 사실로 보여집니다. 그리고 Ubiquiti에서는 계속 no evidence라고 하는데 제보자에 의하면 그건 자체적으로 로그하지 않으니 당연히 evidence가 없는거라고 무슨 말장난이냐고 하는 거고요.
https://community.ui.com/questions/Update-to-January-2021-Account-Notification/3813e6f4-b023-4d62-9e10-1035dc51ad2e
이상한 짓 그만하고 정말 베타만도 못한 펌웨어 그만 냈으면 좋겠는데 딱히 그럴 기미가 보이진 않네요. 그리고 실제로 이 기사 30일에 나가고 주가가 바닥을 치고 있죠.
+1
베타만도 못한 펌웨어 ㅠㅠ
잘되던게 안되고 새로생긴 기능도 안되고...
저희 회사는 Ubiquiti 비싸서 못 쓰고 있었는데 최근에 TP-LINK 에서 Omada SDN 나와서 테스트했는데 완전 짱이네요. 그래서 Omada 로 새롭게 다 셋업했습니다. 가격도 적당하고~ 정말 좋아요!! 강추입니다!
혹시 어떠한 제품들 구입했는지 공유가능할까요?
TP-Link Omada Hardware Controller 가 필요한데 처음에는 OC300 500 devices https://www.tp-link.com/us/business-networking/omada-sdn-controller/oc300/ 구입해서 쓰다가 SW Controller Windows/Linux 무료로 공개되어 있어서 나중에 리턴하고 Linux 에 설치해서 쓰고 있구요.
Router / Switch / Wifi AP 이렇게 3개가 필요합니다. 저희는 Wifi AP 는 EAP660HD 3개, AC1750 5개, Outdoor AC1200 5개, EAP-WALL 10개 로 구성했습니다. https://www.tp-link.com/us/omada-sdn/ 에 가시면 자세하게 보실 수 있어요.
추가로 저희가 건물이 2개인데 한 700m 떨어져 있는데 따로따로 인터넷 서비스를 쓰다가 https://www.amazon.com/gp/product/B08D71HC9L 이 제품을 구입해서 한쪽은 서비스를 해지할 예정입니다. 구입하고 2달이 넘었는데;; 아직도 안테나를 밖에 설치못해서~~ ㅋㅋ 이번달에는 설치해볼 예정입니다.
저는 ubiquiti큰 불만은 없는데 특정 vlan에다가 vpn으로 트레픽보내는 policy based routing기능이 필요한데
dream machine에는 계속해서 지원이안되고 있어서 아마 곧 omada로 넘어갈듯하네요
감사합니다
딥러닝님도 저하고 똑같은 것을 원하시는 군요. 요즘하는 걸 봐서는 영원히 안 될 것 같습니다. 할 수 없이 따로 firewall 돌리고 있네요.
이런 완전 기본적인 것도 안 되고 안정성이 뭔지 모르는 펌웨어 릴리스, 거기다 아무 쓸모없는 statistics, 이번엔 정말 날 잡아서 바꿀 겁니다.
역시 따로 돌리고있으시군요 ㅠㅠ
저도 옛날에 쓰던 라우터를 하나 주섬주섬 꺼내서 일단 연결은 해뒀습니다.
아마도 omada로 갈거같아요 가지고있는 ubiquiti장비다팔면 비용은 다 커버될거같네요
라우터랑 스위치는 뭐 쓰세요?
추천 감사드립니다. 저도 한번 봐야겠네요. 그런데 중국... 너무 지나친 우려이려나요?
핵님이라 역쉬 해킹에 취약한 것을 바로 알아내시는군요! ㅎㅎㅎ 암튼 알려주셔서 감사함다.
해킹의 ㅎ자도 모르는 일반인입니다. ㅎㅎ 어찌어찌 제품을 쓰다보니 그리고 원하는게 잘 안 되다 보니 관심을 가지게 되었네요.
댓글 [15]