Vulnerabilità critica UniFi OS Server con attacco senza autenticazione

Una grave catena di vulnerabilità è stata scoperta nel software UniFi OS Server di Ubiquiti, mettendo a rischio migliaia di dispositivi di rete aziendali e domestici. La falla permetteva agli attaccanti di ottenere il controllo completo dei sistemi senza alcuna autenticazione, semplicemente accedendo alla porta 443 dell’interfaccia di amministrazione.

Come funzionava la catena di attacco

La vulnerabilità sfruttava una combinazione di tre diverse falle di sicurezza, creando un percorso di attacco devastante:

Bypass del gateway di autenticazione

Il primo anello della catena sfruttava le divergenze nell’interpretazione degli URI tra il controllo di esenzione pubblica e il routing Nginx. Questo permetteva agli attaccanti di aggirare completamente i meccanismi di autenticazione, ottenendo accesso all’interfaccia amministrativa senza fornire credenziali.

Command injection nel servizio di aggiornamento

Una volta superata l’autenticazione, gli attaccanti potevano sfruttare una vulnerabilità di command injection nel servizio package-update. Questa falla consentiva l’esecuzione di comandi arbitrari sul sistema, aprendo la strada per operazioni maligne.

Escalation dei privilegi

L’ultimo tassello della catena sfruttava permessi sudo configurati in modo errato, permettendo agli attaccanti di escalare i privilegi fino ad ottenere accesso root completo al sistema.

Impatti devastanti sulla sicurezza

Le conseguenze di questa vulnerabilità erano particolarmente gravi per le organizzazioni che utilizzano l’ecosistema UniFi:

• Accesso completo ai segreti: gli attaccanti potevano visualizzare e rubare credenziali, certificati e altre informazioni sensibili memorizzate nel sistema
• Compromissione delle sessioni amministrative: controllo totale su tutte le sessioni di gestione attive
• Controllo dell’intera infrastruttura: accesso a tutti i dispositivi connessi alla piattaforma UniFi
• Compromissione di telecamere di sicurezza: visualizzazione non autorizzata dei feed video
• Manipolazione dei sistemi di controllo accessi: possibilità di aprire porte e disabilitare sistemi di sicurezza

La risposta di Ubiquiti e le correzioni implementate

Ubiquiti ha reagito rapidamente rilasciando la versione 3.2.12 di UniFi OS Server, che include diverse correzioni mirate:

Miglioramenti nella validazione degli URI

Il team di sviluppo ha implementato una validazione più rigorosa degli URI per eliminare le divergenze di interpretazione che permettevano il bypass dell’autenticazione. Questo assicura che tutti i meccanismi di controllo accessi funzionino in modo coerente.

Controlli di input rafforzati

Sono stati introdotti controlli di input più stringenti nel servizio package-update per prevenire l’iniezione di comandi maliciosi. Tutti gli input utente vengono ora sanitizzati e validati prima dell’elaborazione.

Riduzione dei privilegi sudo

La configurazione dei permessi sudo è stata rivista per implementare il principio del privilegio minimo, limitando significativamente l’impatto potenziale di future vulnerabilità di escalation.

Raccomandazioni immediate per gli amministratori

Gli amministratori di sistema che gestiscono dispositivi UniFi devono agire immediatamente per proteggere le proprie infrastrutture:

1. Aggiornamento urgente: installare immediatamente la versione 3.2.12 o successiva di UniFi OS Server
2. Limitazione dell’accesso esterno: configurare firewall per limitare l’accesso all’interfaccia di gestione (porta 443) solo da reti fidate
3. Implementazione di VPN: utilizzare connessioni VPN per l’accesso remoto all’interfaccia di amministrazione
4. Monitoraggio dei log: verificare i log di sistema per identificare eventuali accessi sospetti precedenti alla patch
5. Rotazione delle credenziali: cambiare tutte le password amministrative e rigenerare i certificati se necessario

Lezioni apprese e prevenzione futura

Questo incidente evidenzia l’importanza critica di diversi aspetti della sicurezza informatica:

• Segmentazione della rete: isolare i dispositivi di gestione dalla rete pubblica
• Principio del privilegio minimo: configurare sempre i permessi con il livello minimo necessario
• Aggiornamenti tempestivi: implementare procedure per l’applicazione rapida delle patch di sicurezza
• Monitoraggio continuo: implementare sistemi di monitoring per rilevare attività anomale

La scoperta di questa catena di vulnerabilità in UniFi OS Server rappresenta un promemoria importante dell’evoluzione continua delle minacce informatiche. La combinazione di multiple falle di sicurezza può creare scenari di attacco particolarmente pericolosi, rendendo essenziale un approccio di sicurezza a più livelli. Gli amministratori devono agire con la massima urgenza per applicare gli aggiornamenti e implementare le misure di sicurezza raccomandate, proteggendo così le proprie infrastrutture critiche da potenziali compromissioni.