Ubiquiti se niega a reconocer la gravedad de un fallo de seguridad en sus equipos
No podemos negar que gracias a los programas Bug Bounty, muchos programas y firmware han solucionado vulnerabilidades muy graves que, de haber sido descubiertas a cambio por piratas informáticos, podían haber causado grandes daños a los usuarios. Para incentivar a los hackers a buscar y reportar estos fallos, los desarrolladores suelen ofrecer una serie de recompensas económicas que varían en función de la gravedad de la vulnerabilidad. Sin embargo, no todas las compañías están dispuestas a admitir y pagar por los fallos más graves, y una de las que más pegas pone a la hora de aceptar esto es Ubiquiti.
Ubiquiti es un fabricante de dispositivos de red, especialmente de dispositivos para mejorar la conectividad inalámbrica. Ya que este tipo de dispositivos suele estar conectado directamente a Internet y, además, pueden ser fácilmente accesibles para otros usuarios, su seguridad y honestidad debería ser uno de los pilares base de la compañía, pero, según parece, no es así.
Recientemente, el grupo de hackers español R4S-TEAM ha estado trabajando a través de la plataforma HackerOne reportando y solucionando una serie de vulnerabilidades detectadas en el firmware de los dispositivos de este fabricante. Según Ubiquiti, las recompensas por reportar este tipo de fallos pueden ser de entre 100 y 25.000 dólares, según su gravedad y el tipo de la misma. Como siempre, las vulnerabilidades de ejecución de código, RCE, suelen ser las más graves, o al menos así se entiende.
A pesar de haber pagado grandes cantidades de dinero por vulnerabilidades similares en el pasado, tras reportar nuevas vulnerabilidades RCE similares, varias fueron descartadas como repetidas y para la válida la compañía solo decidió pagar 2.000 dólares debido a que, para poder explotarlas, era necesario tener los credenciales del dispositivo.
Sin embargo, a diferencia de en otras vulnerabilidades similares, en esta ocasión, los hackers han encontrado una forma de explotarla sin autenticación y que podía ser utilizada para llevar a cabo otros ataques a mayor escala, como, por ejemplo, ataques Cross-Site Scripting o congelar la grabación de cámaras de vigilancia.
La valoración es correcta, según Ubiquiti
Los compañeros de Follow the white Rabbit nos explican en detalle todo el trabajo que han tenido que realizar para poder demostrar la vulnerabilidad, cómo han conseguido demostrarla y todas las conversaciones que han tenido con este fabricante para que, finalmente, además de demostrar cómo se puede explotar el fallo sin autenticación, ellos han decidido considerar que el fallo no es tan grave como para merecer una recompensa justa y que la recompensa inicial está correcta, como si se tratase de un simple fallo más.
En el siguiente vídeo se muestra una prueba de concepto de cómo esta vulnerabilidad puede ser explotada de forma muy sencilla.
Es muy preocupante que un fabricante de dispositivos de red, dispositivos que, al fin y al cabo, están conectados directamente a Internet y pueden ser explotados por cualquiera, se niegue a reconocer la gravedad de estas vulnerabilidades y, mucho peor, a reconocer el trabajo de verdaderos expertos de seguridad que les han ayudado a hacer que sus productos sean más seguros.
Ha dado la casualidad de que los hackers de R4S-TEAM son realmente éticos y han decidido no publicar el exploit, pero, ¿qué hubiera pasado si, finalmente, sí lo hubieran hecho o lo hubieran vendido en el mercado negro para conseguir dinero por su trabajo? Como siempre decimos, si realmente te preocupa tu seguridad en la red, siempre es mejor buscar fabricantes honestos que realmente se preocupen por la seguridad y que admitan sus errores en vez de que, por ahorrarse algunos dólares, decidan quitar importancia a una grave vulnerabilidad RCE como esta.
¿Qué opinas de esta vulnerabilidad y de que Ubiquiti no admita su gravedad?
Actualización
Hemos actualizado el artículo para dejar claro que Ubiquiti ha admitido el fallo y lo solucionará. Sin embargo, el fabricante se niega a admitir la gravedad del fallo y a pagar la cantidad que, normalmente, se suele pagar por dichas vulnerabilidades, un fallo de ejecución de código que puede explotarse fácilmente sin necesidad de autenticación.