Kommentar zur Sicherheit bei UniFi-Produkten #unifi #ubnt #ubiquiti

Ubiquiti Networks (UBNT, Link) hat sich in der jüngsten Vergangenheit nicht mit Ruhm bekleckert. Besonders nicht, wenn es um die Aufklärung von Sicherheitsproblemen geht. Stellt sich raus, es ist in etwa doch so, wie wir vermutet hatten. Nur der Angriffsvektor war nicht Solarwinds. Und alles ist vielleicht doch noch ein klein wenig schlimmer…

UniFi bietet Netzwerklösungen für Heimanwender und SOHO-Umgebungen, u.a. Video-Überwachung, Zugangssysteme, Firewalls, Switching, WLAN, uvm. Die Produkte zeichnen sich durch eine besonders einfache Bedienung aus, welche auch von Laien, ohne besonderen, technischen Sachverstand ein in Ansätzen gelungenes Netzwerk bereitstellen lassen.

Während ich UniFi’s Switching und auch WLAN für einige wenige, kleinere Umgebungen bislang empfohlen hatte (mir ist kein System bekannt, welches einfacher VLAN’s klickt), hielt sich meine Begeisterung für UniFi’s USG auch früher schon ‚eher in Grenzen‘ (Link). An dieser Meinung hat sich bis heute nichts geändert.

So sind auch die neuen UniFi Dream Machine (UDM) und UDM Pro für mich Produkte, welche aufzeigen, dass bei UBNT eher wenig technischer Sachverstand hinsichtlich Sicherheit vorhanden ist. Beides sind Produkte, die ich im Leben niemals einsetzen würde. Auf Gateway-Ebene hat so viel angreifbare Software definitiv überhaupt nichts zu suchen.

In sofern ist – für SOHO – der Cloudkey Gen 2/Gen 2 Plus für mich bislang ein akzeptables Instrument. Auch da das Ding noch nicht mal in’s Netz veröffentlicht werden muss, denn lediglich mit der UniFi Cloud verheiratet. Das war für mich bislang akzeptabel (wenngleich nicht perfekt).

Es ist auch so relativ angenehm, mit seinem UBNT-Cloudzugang Zugriff auf andere Netzwerk-Controller oder Produkte, wie z.B. UniFi-Protect, usw. zu erhalten. Ebenso werden darüber Push-Notifications der Systeme an das Telefon des Endanwenders geschickt.

Ich selbst habe zwar für unterschiedliche Infrastrukturen bislang immer eigene Konten bei UBNT angelegt, kann mir jedoch sehr gut vorstellen, dass es einige Dienstleister gibt, die ihre Kundeninfrastrukturen allesamt in einem einzelnen Cloudaccount hinterlegt haben.

Was ist passiert?

Brian Krebs ist eine meiner wöchentlichen Anlaufstellen, wenn es um Informationssicherheit geht. Ein Whistleblower hat dort unlängst kundgetan, was bei UBNT tatsächlich passiert ist (Link):

„the attacker(s) had access to privileged credentials that were previously stored in the Lastpass account of a Ubiquiti IT employee, and gained root administrator access to all Ubiquiti AWS accounts, including all S3 data buckets, all application logs, all databases, all user database credentials, and secrets required to forge single sign-on (SSO) cookies“

Kurz übersetzt: Ein „Lastpass“-Zugang eines Mitarbeiters ist ausgebüchst. Damit hatte der Angreifer Zugriff auf die gesamte Kerninfrastruktur hinter den Cloud-Diensten. UBNT hatte quasi keine Hosen mehr an. Damit sind Kundenumgebungen gefährdet, welche mit dem zuvor erwähnten Cloud-Dienst verheiratet waren.

Der Whistleblower berichtet zudem detailliert über den Hergang und die Erpressung von UBNT, ebenso über das Vorgehen des Netzwerkausrüsters mit diesem Vorfall.

UBNT gab zuletzt an, dass Sie keinerlei Kenntnis haben über Information Leakage (Link), was nach Angaben des Whistleblowers allerdings auch kein Wunder sei, da UBNT die Zugriffe auf die Kerninfrastruktur überhaupt nicht adäquat protokolliere.

Da ist es dann auch wieder, das Problem, was ich mit Ubiquiti Networks habe. Die mangelhafte Information der Kunden unterstreicht deren Verständnis von „Sicherheitskultur“, welches bei UBNT offenbar überhaupt nicht existent ist.

What to do now?

It depends.

Ich rate weiterhin – mit Nachdruck – davon ab, UniFi-Produkte als Gatewaylösung einzusetzen (USG/UDM) oder NVR/Controller direkt zu veröffentlichen – auch wenn mein Perimeterdenken in dieser Form ebenfalls in Ansätzen kritikwürdig ist. In sofern wäre eine Lösung über einen UniFi Cloudaccount m.E. für SoHo/Privatanwender zwar in Ordnung aber eben auch nicht optimal – gerade dieser Teil wurde ja angegriffen.

Ich „würde“ mindestens mal bei account.ui.com mein Kennwort ändern und Zweifaktor aktivieren. Ebenso würde ich die Verheiratung der Zielprodukte mit der Cloud wohl auch aufheben und – sofern erforderlich – wieder neu zuweisen.

Mein „Optimum“ ist allerdings die dauerhafte Trennung von UI’s Cloud und ein Standalonebetrieb von Controller und oder NVR. Push-Notifications wären damit wohl nicht drin, allerdings ließe sich weiterhin über VPN (passender Hersteller vorausgesetzt, definitiv nicht UniFi USG/UDM) im NVR nachschauen oder im Controller konfigurieren. Einige andere machen allerdings schon komplett zu (Link).

In einigen Infrastrukturen würde ich allerdings aufgrund der jüngsten Erfahrungen zum Tausch raten.

Fazit

Datendiebstahl oder Einbrüche gibt’s immer und überall. Relevant ist, wie das jeweilige Unternehmen damit umgeht. Das fühlt sich alles nicht gut an. Wird aber offen und transparent kommuniziert, ist eine adäquates Vorgehen und eine sinnvolle Sicherheitsarchitektur oder ein Sicherheitskonzept erkennbar, ist ein solcher Fall zwar ärgerlich, aber kein größeres Problem (Passwortmanager! unabdingbar, je Dienstleister/Site/Infrastruktur eine andere Benutzername-Kennwort-Kombination!). Ich gehe dann sogar davon aus, dass ein zukünftiger Vorfall beim Betroffenen solcher Natur weniger wahrscheinlich ist.

Wird allerdings exakt so vorgegangen, wie es bei UBNT der Fall ist, schüttelt’s mich nicht nur, das macht mich regelrecht sauer. UniFi’s Umgang mit dem Thema ist – wie’s bei Brian Krebs geschrieben steht – eine Katastrophe. In sofern ist der Shitstorm, den der Laden derzeit ertragen muss, absolut gerechtfertigt. Ich hatte gehofft, dass der Umgang mit solchen Themen wenigstens seit 2012 optimiert ist (TFTP-Problem – Link, GPL-Verstoß, ein seit Jahren nicht aktualisiertes Strongswan – Link, …), im Gegenteil: Die Kultur in dem Unternehmen stimmt einfach nicht. Und deshalb traue ich denen hinsichtlich Sicherheit auch für die Zukunft nicht mehr viel zu.

Lessons learned: Mein persönliches Fazit ist, dass ich UBNT zukünftig nicht mehr in die Auswahl mit aufnehme und in fast allen Bereichen zu Alternativen raten werde. Bei bestehenden Infrastrukturen – auch jene, welche ich mal bereitgestellt habe und noch betreue – muss ich Änderungen empfehlen – und das ärgert nicht nur mich. Aber hey, that’s life. Wir haben gelernt, UBNT leider nicht.

Gut ist wohl, dass es in der Netzwerksparte sogar günstigere (man mag es kaum glauben), und bessere Alternativen gibt – Aruba Instant On z.B.. Besonders im Bereich WiFi sind andere weitaus besser und mit mehr, teils auch notwendigen Features versehen, welche bei UBNT bislang nicht mal im Ansatz adäquat umgesetzt wurden: U.a. funktionierendes Roaming, adäquater Umgang mit Multicast. Das sind Features, welche auch in „mittleren“ Umgebungen dringend notwendig sind; was UniFI zuletzt – auch in meinem Bereich – immer wieder auf’s neue disqualifiziert.

Beitragsbildquelle: Wikimedia Commons