안녕하세요.
며칠전 Krebs on Security 사이트에 몇달전 있었던 Ubiquiti security breach에 대한 글이 새롭게 올라왔습니다. 당시에 Ubiquiti에서는 별거 아닌 것처럼 얘기하고 그냥 비번이나 바꾸세요 정도로 넘어 갔었는데요. 이번에 내부고발자가 제보한 내용에 따르면 가히 충격적입니다.
참고로 Ubiquiti는 prosumer, small business에서 인기이고 네트웍계의 애플로 불릴 정도로 팬이 있는 회사입니다. 실제 ex-애플 인력이 만들기도 했지만요. 이전 글들보면 마모에도 Ubiquiti 장비를 쓰시는 분들이 꽤 계신 것으로 아는데요. 저뿐 아니라 많은 사람들이 최근들어서, 특히 코비드 시국에 정말 회사가 이상한 방향으로 가고 있다고 많이들 얘기하고 있었죠.
어떻든 다시 내용으로 돌아와서 자세한 내용은 아래의 포스팅에서 보실 수 있습니다.
https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/
핵심만 추려보면 이전 발표에서는 그냥 단순한 third-party 서버의 unauthorized access였다고 말했던 것이 실제로는 Ubiquiti 자체의 AWS 서버에 있던 모든 것이 그냥 탈탈 털린 것이었습니다.
"They were able to get cryptographic secrets for single sign-on cookies and remote access, full source code control contents, and signing keys exfiltration."
더 황당한 것은 어태커가 한 내부 직원의 LastPass에 저장되어 있던 걸로 root 권한을 획득하고 모든 ubiquiti account 정보를 억세스할 수 있었다는 것입니다. 2FA도 안전하지 않아 보입니다.
"gained root administrator access to all Ubiquiti AWS accounts, including all S3 data buckets, all application logs, all databases, all user database credentials, and secrets required to forge single sign-on (SSO) cookies"
그래서 ubiquiti account 있으신 분들은 1월 달에 메일 받고 비번 바꾸셨더라도 다시 한번 바꾸시길 권장드립니다.
1. 비밀번호 변경
2. 2FA 안 쓰고 계시면 enable하세요. 만약 이미 쓰고 계시다면 disable하고 다시 enable 하세요.
3. 꼭 필요없으시다면 unifi.ui.com 통한 Remote Access를 disable 하세요.
워낙에 Ubiquiti의 라우팅 장비들이 별로라서 언젠간 바꿔야지하고 OPNsense하고 PfSense 깔아서 설정도 해보고 미니컴도 사 놓긴 했었는데요. 이건 뭐 전부다 집에서 있다보니 실행을 못하고 있었는데 이번 여름엔 정말 며칠 날 잡아서 바꿀까 합니다. 그래도 AP 같은 것들은 당장 바꾸기 그렇고 재활용하긴 해야겠지만요. 어느 회사제품으로 가야할 지 좀 연구를 해봐야할 거 같네요.