Ubiquiti で発生したミスコンフィグ:クラウドを介して他者の Router/Camera にアクセス?

Ubiquiti users report having access to others’ UniFi routers, cameras

2023/12/14 BleepingComputer — 昨日に報告されたのは、Ubiquiti のネットワーク機器のユーザーたちの困惑であり、同社の UniFi クラウドサービスを通じて、ルーターからセキュリティカメラに至るまでの、他者のデバイスや通知が見えてしまうというものだった。Ubiquiti は人気のネットワーク機器メーカーであり、クラウドベースの UniFi プラットフォームを利用する管理者は、単一のクラウド・ポータルから全デバイスを管理できるようになる。

一連の問題に関する最初の報告は、2023年12月14日の午前8時 (米国東部時間) に生じているが、UniFi Protect を利用する Ubiquiti の顧客が、他者のセキュリティ・カメラからの誤った通知を受信したというものだった。

Reddit のポストには、「UniFi Protect で遭遇した奇妙な状況について、助言を求めている。最近、私の妻が UniFi Protect から通知を受け取ったのだが、その通知にはセキュリティカメラの画像が含まれていた。しかし、このカメラは、私たちのものではない」と記されていた。

UniFi Protect notification of another customer's camera
UniFi Protect による他の顧客のカメラの通知
Source: Reddit

さらに悪いことに、Ubiquiti の別の顧客によると、デバイスを管理するために UniFi Site Manager ポータルにログインすると、別の顧客のアカウントにあるはずの 88 台のデバイスが表示されたという。

その UniFi の顧客は「別のアカウントにあるはずの、88 台のコンソールが表示された。自身のコンソールと同じように、これらのコンソールに、私はフルアクセスできた。Web ブラウザを強制的に更新すると、再び自分のコンソールが表示されるようになった。これは少々気になる。このような問題が発生した人が他にいるだろうか?」と説明している。

Screenshot allegedly showing another customer's UniFi devices
別の顧客の UniFi デバイスを示すとされるスクリーンショット
Source: Ubiquiti forums

その他の Reddit ユーザーも、他者の UDM Pro にログインしてアクセスし、デバイス を管理して、追加の WiFi ネットワークを作成できたと言っている。いずれの状況においても、ポータルの Web ページが更新されると、自身のアカウントに関連付けられている、自身のデバイスが表示されるようになったという。

これらの問題について、BleepingComputer が Ubiquiti に問い合わせたところ、現時点においては、何が問題を起こっているのかを評価するために、情報を収集しているとのことだった。Ubiquiti は、レビュー完了後に声明を発表するとしている。

Ubiquiti のフォーラムや Reddit において、すでに情報収集が始まっており、影響を受けた顧客に連絡を取り、何が起こったのかについて詳しく聞いていると、同社は述べている。

Reddit に掲載された Ubiquiti の担当者のコメントには、「これは想定外の情報である。私たちは Reddit のチャットを通じて連絡を取り、詳細を収集し、すぐに当社のリードにレビューさせた」と記されている。

一部の顧客は、実際に起こっていることに疑問を呈し、問題を調査する時間を Ubiquiti に与えるべきだと述べている。

しかし、他の顧客は、「他のネットワーク設定を変更できると、報告しているユーザーがいることを考えてほしい。Ubiquiti が公的な声明を出さないことに対して、また、同社のネットワークステータス・ページに潜在的な問題が掲載されないことに対して、不満を抱いている」と述べている。

UniFi アクセスのミスコンフィグが原因

Ubiquiti は、他の顧客のデバイスにアクセスできてしまうバグは、UniFi クラウド・インフラのアップグレードにおける、ミスコンフィグレーションが原因であるとの声明を発表した。

同社によると、”Group 1 “と呼ばれる 1,216 件の Ubiquiti アカウントが、”Group 2 “と呼ばれる 1,177 件の Ubiquiti アカウント・グループに関連付けられていた。また、UniFi クラウド管理ポータルにログインすると、Group 2 のアカウントから Group 1 の顧客のデバイスが見えるようになっていたという。

この問題は12月13日午前6時47分〜午後3時45分 (UTC) の間に発生し、その後に修正されたと、Ubiquiti は説明している。

現時点においても、同社は調査を続けているが、他の Ubiquiti の顧客から不正にアクセスされたアカウントは 12 件のみだと推測している。誤ってアクセスされたアカウント保有者には、電子メールで通知が行われている。

クラウド・サービスのミスコンフィグは怖いですね。しかも、今回の Ubiquiti インシデントは、ユーザー側の誤りではなく、ベンダー側の問題です。最近の関連記事としては、2023/10/30 の「ServiceNow のデータ漏えい:たった1つのミスコンフィグレーションが原因だった」があります。よろしければ、misconfiguration で検索も、ご利用ください。