Ubiquiti Unifi

Nu har de två nya enheterna tappats bort av controller ett tiotal gånger. Jag har fått ta bort dem och adopta dem igen. Jag hittade ett script för att städa databasen och sedan läste jag tillbaka en back, gjorde en ny adopt och nu har de varit stabila i flera timmar.

Fy fasen vad sjukt dålig kvalitetskontroll de har på Ubiquity.

Dessutom en FET läcka för alla som använder molncontroller, vilket jag då verkligen aldrig skulle rekommendera:
https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-br...

För övrigt. Min controller råkade ut för felet:
2021-03-31 10:10:52,094 main ERROR Error processing element InMemoryAppender ([Appenders: null]): CLASS_NOT_FOUND
2021-03-31 10:10:52,371 main ERROR Unable to locate appender "InMemoryAppender" for logger config "root"
Det har Ubiquity inte ens erkänt är en bugg, trots att hyggligt många rapporterat det.

Länk till Krebs: https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/

Det har ju aldrig varit lysande att öppna sitt nätverk mot internet, så om man insisterar på appar och annan fjärradministration via moln så är det här en risk man tar.

Enligt länken så har angriparna haft tillgång till de hemligheter som behövs för att fejka inloggninstokens, så all utrustning med fjärradministration+molnberoende har varit potentiellt komprometterad även om lösenorden varit hashade.

Jag använder inte utrustning från bolaget i fråga själv, men som jag förstår det finns det vissa möjligheter att slippa molnberoendet. Hårdvaran i sig är det inget (känt) fel på och eftersom den i hög grad bygger på Mediatek-chip med hyfsad tillgång till öppna drivrutiner så går det att installera OpenWrt på många av enheterna. Ubiquiti fick enligt artikeln sin källkod stulen så med lite tur får fler enheter öppet stöd i framtiden...

Berör ju inte de som kör allt lokalt.
Använder själv inte några molntjänster för något känsligt material.

Det är svårt att svara på orsaken utan att veta mer om din konfiguration. Vilken kanalbredd kör du exempelvis? Är det UAP AC Lite eller UAP AC LR du har?

Du efterlyser perspektiv men du ser inte skillnad på verksamheterna här? Mig veterligen så kränger inte Geeks AB nätverksutrustning med slogans som "simplifying IT" och "At last, simple IT that just works". Sedan är det också en klar skillnad på vad hackarna kom över här och som du själv skrev, Ubiquiti försökte i det längsta mörka det här medan Sweclockers var ute med en nyhet om det: https://www.sweclockers.com/nyhet/20800-sweclockers-drabbas-a...

Med tanke på att Ubiquiti har inte gjort så mycket annat än att hålla tyst sedan intrånget så måste man, som du också skriver, ha lite perspektiv och fråga sig själv om det finns någon tillit kvar till ett företag som har även ertappats med mörklägga hur allvarligt det här intrånget egentligen var. Att någon obehörig över kommer över kontouppgifter är allvarligt, att någon obehörig kommer allt möjligt från kontouppgifter till källkod är typ en digital härdsmälta.

Satt i samma situation till för några veckor sedan då jag började få vetskap om intrånget och allt annat, och helt ärligt så skulle jag föreslå att du tittar på alternativ framför Ubiquiti för stunden av flera skäl än det som har rapporterats om intrånget. Men även att UDMs verkar (om man ska tro subredditen) returneras i rasande fart efter enheterna fallerar pga hårdvarurevisioner, kass firmware eller överhettning. Sedan ska man tydligen bara ha ett års garanti om du köper från någon annan än just Ubiquiti, vilket är ju lite suspekt och kommer säkert kollidera med vissa länders konsumentlagar.

Källa?

Visst är det viss skillnad, men detta är knappast det första företaget som säljer nätverksutrustning som antingen blivit hackat eller haft bakdörrar (i form av hårdkodade lösenord eller SSH-nycklar) som är enkla att utnyttja.

Som jag sade tidigare är det värsta deras hantering, inte själva intrånget i sig. Det är tyvärr inte helt ovanligt att företag hanterar det på liknande sätt tills någon kommer på dem. Det är detta som möjligheterna till de höga böterna i GDPR (och motsvarande landsspecifika implementation) är till för att kunna motverka, genom att göra det dyrare att mörka en incident än att vara transparent.

Om Ubiquiti drar lärdom av detta är det bra. Själv väljer jag att inte döma ut dem direkt då jag vet hur vanligt denna typ av händelser tyvärr är. Just denna gång påverka det inte heller mig personligen då jag stängt av deras cloud-funktion i min controller, vilket naturligtvis gör det lättare att ge dem en chans till.

Du ser i controllern vad AP:n heter annars. Det spelar inte jättestor roll i detta fallet dock så båda har väldigt snarlik prestanda i 5 GHz-bandet. Testa VHT80.

Du måste ha missat biten "om man ska tro subredditen" och har du trots varit registrerad här sedan 2002 så får man ju förmoda att du även har en viss internet vana. Men du, för att jag är trots allt hjälpsam så har du iallafall dessa efter en snabb googling.

https://old.reddit.com/r/Ubiquiti/comments/m5rw7y/udm_pro_swi...

https://old.reddit.com/r/Ubiquiti/comments/honymh/udm_arrived...

https://old.reddit.com/r/Ubiquiti/comments/j1x5rd/udm_died_af...

https://linustechtips.com/topic/1257516-ubiquiti-failure-rate...

Nu vet jag inte hur mycket av folk postar på Ubiquitis egna forum om sina problem men det skulle inte förvåna mig om Ubiquiti körde rätt hårt med damage control på sitt forum med tanke på vilka längder de gick för att förminska dataintrånget för några månader sedan.

Konstigt argument nu i efterhand, när det var du som började att jämnföra päron och apelsiner som du avslutar med att man måste ha perspektiv. Faktum kvarstår att den ena är en webbpublikation som har ett datorforum, den andra säljer IoT-nätverksutrustning för hemma och enterprisemiljö. Och den senare blev av mer än bara kontouppgifter och det är illa. Riktigt, riktigt illa.

https://arstechnica.com/gadgets/2021/03/ubiquiti-breach-puts-...

Deras hanterande av intrånget är klart problematiskt, framförallt den totala bristen på transparens till sina kunder och klienter och det leder ju enbart till att tilliten till dem har ju fått sig en rejäl törn och bilden av dem har ju krackelerat som följd. Men i slutändan så tror jag inte att Ubiquiti bryr sig nämnvärt om vilka synpunkter vi har utan enbart kommer oroa sig för aktiekursen och hålla sina investerare glada.

Hur ska man resonera kring detta nu i fallen nedan;

A) Kör AP’s, konfigurerade en första gång via PC - Körs lokalt utan access etc. - Säkerhetsrisk?

B) Kör UniFi Router GW, UniFi Switch, UniFi AP’s och en UniFi Cloud Key - Säkerhetsrisk?

I B fallet har lösenord och sådant bytts men finns nyare FW att tillgå - Om det nu gör någon skillnad för att säkra upp.

Vore tacksamt om någon kan ge besked till ovan och hur man borde resonera och säkra upp.

Ser inte vad som är konstigt med det. Det ursprungliga inlägget verkade implicera att det var otänkbart att använda en produkt/tjänst från ett bolag som blivit hackat och kontouppgifter läckt som ett resultat. Då kändes det fullt rimligt att påpeka att tjänsten vi just nu diskuterar detta på även den blev hackad och läckte en massa information.

Underskatta förresten inte värdet av läckt information från forum. Credential Stuffing är förvånansvärt effektivt då återanvändning av lösenord fortfarande är skrämmande högt.

Eftersom detta främst påverkar användare av deras UnifiOS-produkter (eller de som aktiverat cloud-funktionaliteten i sin controller) skulle jag tro att antalet företag som drabbats är ganska lågt. UDM-serien och CloudKey Gen 2, framförallt den förstnämnda är mest för mer avancerade hemanvändare än så länge då den saknar en del funktionalitet som ofta är ett baskrav i företagsvärlden. De flesta företag kör nog en egen-hostad controller. Om detta antagande är fel blir det ju desto allvarligare dock, även om jag tror att antagandet stämmer baserat på min interaktion med Unifi-communityn. Med det sagt ser jag gärna att cloud-funktionaliteten görs frivillig även på enheterna nämnda ovan.

Precis som du vet jag att de flesta företag lär sig bättre av sina misstag om misstaget påverkar dem märkbart negativt. I detta fall ser jag gärna att de åker på någon form av vite samt inser hur denna dåliga hantering kan skada varumärket.

Som jag skrev förra gången så finns det en skillnad här, i fallet med Sweclockers så var de snabba med att gå ut med informationen medan i Ubiquitis fall så var informationen mer knapphändig. Sedan har du den här visselblåsaren på krebs som spär bara på det ytterligare. Självklart så bör man ta det där med en nypa salt men med tanke på att Ubiquiti har ju gjort väldigt lite för att dementera det hela så känns det som att de har inte varit helt sanningsenliga heller.

Ifall du fortsätter använda samma lösenord sex år senare så har du bara dig själv att skylla.

Tiden får helt enkelt utvisa.

Vite, och en audit gjord av tredje oberoende part för att visa exakt hur allvarlig den här hacken var, det hade återställt förtroendet en hel del.

Det var skillnad i hur det hanterades, men det ändrar inte det faktum att det kan anses vara relevant ändå. Sedan finns det alltid olika grader av relevans så klart. Jag håller med om att de inte dementerat den informationen, vilket indikerar att det mycket väl kan stämma.

Det var mer en generell poäng om att man inte ska underskatta risken med att folk får konton på andra tjänster läckta.

Mm.

Ja, det hade varit bra.

Har du kollat i controllern vad det är som händer när den kopplar ner?

Har du uppdaterat programvaran något sedan du satte igång den? Det låter lite icke-optimalt med Unifi att inte ha tillgång till fördelarna med unifi-controllern. Jag tänker att accesspunkterna inte riktigt är som bäst utan den.