Unifi Cloud Account Zwang - CloudKey Firmware 2.x

JeGr

@slu said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

@viragomann said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Könnte vielleicht zum Albtraum werden.

Mal sehen ob Ubiquiti was an dem Cloud Zwang ändert, gut zum Thema passt heute eine Mail:

We recently became aware of unauthorized access to certain of our information technology systems hosted by a third party cloud provider. 

Das ist schon ein Albtraum, wie kann man sich das antun?

Also dazu hab ich mal ein paar Anmerkungen:

• Ja ich bin auch gegen Cloud-only Dienste bzw. zumindest kritisch eingestellt, dass man das evaluieren muss, was wann wo wofür etc. Nur remote-management bspw. wäre schon ein ziemlicher Downer
• Man muss je nach Dienst auch die Kirche im Dorf lassen und mal überlegen, was der Use-Case und die Implikationen sind.
• Information Leaks sind immer Mist und es wird nicht der letzte Dienst/Anbieter sein, die einen abbekommen. Das wird eher die Regel als die Ausnahme und man muss damit entsprechend umgehen und sich absichern. Stichworte: 2FA aktivieren, Username/E-Mail separieren und Passwörter nicht mehrfach nutzen etc.

Aber bist du sicher, dass es bei der neuen Firmware zwingend notwendig ist, denn online Account drin lassen zu müssen? Da würde ich nochmal ganz genau nachrecherchieren.

Bei meinem Key kann ich den Online Zugang problemlos entfernen bzw. den Login via UI-Cloud Account einfach abschalten. Warum auch nicht?
Und selbst bei der gescholteten UDM kann ich NACH dem ersten Setup Durchlauf danach problemlos einen lokalen Admin anlegen, den Cloud-User rauswerfen und gut ist. Ich würde da also erstmal vorsichtig sein mit den Mistgabeln und Fackeln und abwarten, zumal die v2 Firmware meines Wissens noch keine final und release ist.

CloudKey Gen2 und UDM mit lokal only user.

Bei V1:

konnte man problemlos entfernen. Da es immer wieder Setups gibt, die kein direktes Internet haben, würde ich daher stark anzweifeln, dass der CloudKey/Controller jetzt nur noch mit nem Online User angelegt/konfiguriert werden kann. Oder zumindest, dass man das später nicht wieder entfernen kann, da der Online Login u.a. gebraucht wird um zu checken, ob du bspw. Elite Support oder Beta Anmeldung hast.

Daher würde ich da erstmal vorsichtig kritisch bleiben.

Edit: anscheinend übersehen, dass das mit 2.0.4 wohl jetzt das erste Release ist und sie wie bei der UDM das eigene OS drunter gepackt haben. Well. Ob das gut/schlecht wird muss sich zeigen. Aber ich lese/sehe nichts, dass mich gerade bestätigt in der Suche, dass man den Online User nicht abklemmen/runterwerfen kann wie bei der UDM? Hmm.

JeGr

@slu vielleicht kannst du mal Screens zeigen von der Userverwaltung bzw. dem Remote Access? Ob man lokale Super-Admins hinzufügen und den anderen damit deaktivieren kann?

slu

@jegr
ich wollte einen CloudKey Gen2 mit Firmware 2.x in Betrieb nehmen.
Du kannst das Teil ohne Internet nicht installieren, es gibt keine Option das zu überspringen.

Wenn dieser dann eingerichtet ist hast Du keine Chance den Owner (UI) Account zu entfernen, auch nicht mit einem lokalen Admin Account.

Daraufhin habe ich den UI Support direkt kontaktiert (nicht übers Forum) und dieser hat mir bestätigt das es nicht geht. Klar kannst Du den cloud access abstellen, aber Du hast immer die Verbindung CloudKey - Cloud.

Bei uns hat das ganze Unifi kein Internetzugang, höchstens für ein Firmware Update und das ist auch gut so. Mal sehen wie lange das noch geht...

Wegen dem leak, da bin ich bei dir das kann passieren.

slu

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

@slu vielleicht kannst du mal Screens zeigen von der Userverwaltung bzw. dem Remote Access? Ob man lokale Super-Admins hinzufügen und den anderen damit deaktivieren kann?

Sorry deine Antwort kam wärend ich geschrieben habe, es ist leider unmöglich den owner account zu entfernen.

Solltest Du einen CloudKey Gen2 von 1.x auf 2.x upgraden hast Du das Problem nicht. Neuinstallation des CloudKey Gen2 mit Firmware 2.x geht nur mit Internetzugang und UI Account.

Edit: Kann leider keinen Screenshot machen weil das System an einem anderen Standort läuft auf den ich noch kein Remote Zugang habe.
Ja man kann lokale Super-Admins anlegen und sich damit lokal anmelden, aber den owner UI Account damit nicht löschen.

JeGr

@slu Meh, das ist wirklich eher ein Rückschritt. Aber zumindest den Remote Access von außen ausschaltbar machen war Pflicht. Somit kann man sich zwar dann mit dem Cloud Account anmelden - wie gesagt macht das ja begrenzt sogar Sinn wegen Beta und sonstigen Settings - aber dass er auch nicht mehr ohne Netz installierbar ist, wirkt schon seltsam.

Allerdings war das - glaube ich - anfangs bei der UDM auch so, das muss dann wohl mal wieder ein paar Iterationen durchlaufen damit es laut genug kracht seufz...

Controller selbst scheint davon ja nach wie vor nicht betroffen zu sein, das ist aber leider eben eher ein Grund, die CloudKeys und UDM (und USGs) nicht zu kaufen und lieber den Controller extern einzusetzen wenn sie das durchziehen.

slu

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Controller selbst scheint davon ja nach wie vor nicht betroffen zu sein, das ist aber leider eben eher ein Grund, die CloudKeys und UDM (und USGs) nicht zu kaufen und lieber den Controller extern einzusetzen wenn sie das durchziehen.

Ja eigenen Controller bauen wäre meine nächste Idee gewesen.
Vielleicht wird der Cloud Zwang wieder ausgebaut, ich bin gespannt.

viragomann

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Controller selbst scheint davon ja nach wie vor nicht betroffen zu sein

Ich hoffe, das bleibt auch so. Einen Controller in einer VM oder einem Container laufen zu lassen, war eh mein angedachter Einsatzzweck.
Doch fürchte ich, nachdem sich das beim Cloudkey durchgesetzt hat, ist als nächstes die Controller-SW dran.

JeGr

@viragomann said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Controller selbst scheint davon ja nach wie vor nicht betroffen zu sein

Ich hoffe, das bleibt auch so. Einen Controller in einer VM oder einem Container laufen zu lassen, war eh mein angedachter Einsatzzweck.
Doch fürchte ich, nachdem sich das beim Cloudkey durchgesetzt hat, ist als nächstes die Controller-SW dran.

Nope, daran glaube ich keine Sekunde. Worum es beim CloudKey ging war die "Unification" der Geräte. Dass das kommt war klar (leider) aber schneller als gedacht. Man hat mit den UDM / UDMpro jetzt sein eigenes MiniOS gebaut auf dem man aufsetzt und daher den alten Debian Unterbau weggeworfen. Das kann gut und schlecht sein, momentan bin ich zwiegespalten. Mir persönlich hat der nämlich sehr gefallen.

Der Controller war und ist aber schon immer nur ein Stück Java Software gewesen. Da sollte nicht wirklich plötzlich ein OS drunter auftauchen, das wäre seltsam

Und selbst die neue FW2 nutzt ja jetzt den gleichen Controller wie vorher. Nur die darunterliegende Firmware ist halt jetzt "neuer". Denke das kam im Zuge der neuen Gen2 Switche und Kram, die dann ein neues OS brauchen wenn sie denen Layer3 Features spendieren wollen. Und dann machts Sinn nicht für UDM, Switche, Cloudkey etc. jeweils eigene Basis OSe pflegen zu müssen. Kann ich nachvollziehen. :)

slu

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Man hat mit den UDM / UDMpro jetzt sein eigenes MiniOS gebaut auf dem man aufsetzt und daher den alten Debian Unterbau weggeworfen.

Ist immer noch ein Debian, was mich ja sehr freut :)

Firmware version: v2.0.24
                .--.__                              ________
  ______ __ .--(    ) )-.   __ __                  |        |
 |      |  (._____.__.___)_|  |  |__ _____ __ __   |___|    |
 |   ---|  ||  _  |  |  |  _  |    <|  -__|  |  |   /    ___|
 |______|__||_____|_____|_____|__|__|_____|___  |  |        |
        (c) 2020 Ubiquiti Inc.            |_____|  |________|

      Welcome to the CloudKey G2!
root@unifi:/# cat /etc/debian_version 
9.13

NetMartin23

root@unifick2 ??? genau meine Art von Humor ;)

slu

@netmartin23
lach damit war natürlich Unifi und CK2 gemeint.
Ich war mal so frei und habe das editiert...

JeGr

@slu said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Man hat mit den UDM / UDMpro jetzt sein eigenes MiniOS gebaut auf dem man aufsetzt und daher den alten Debian Unterbau weggeworfen.

Ist immer noch ein Debian, was mich ja sehr freut :)

Firmware version: v2.0.24
                .--.__                              ________
  ______ __ .--(    ) )-.   __ __                  |        |
 |      |  (._____.__.___)_|  |  |__ _____ __ __   |___|    |
 |   ---|  ||  _  |  |  |  _  |    <|  -__|  |  |   /    ___|
 |______|__||_____|_____|_____|__|__|_____|___  |  |        |
        (c) 2020 Ubiquiti Inc.            |_____|  |________|

      Welcome to the CloudKey G2!
root@unifi:/# cat /etc/debian_version 
9.13

Interessant, eigentlich war ich der Annahme, dass das neue UniOS was sie da drunterpacken kein Debian mehr ist. War das ein Update oder eine Neuinstallation vom Key? Nicht dass da einfach noch Rudimente drauf sind? :)

Ansonsten schön, aber dann verstehe ich nicht, warum sie das noch so extrem weiter abspecken...

slu

So ich hab heute mal ein Debian 9 installiert und dann direkt das Unifi .deb, das funktioniert auch.
Noch kann man beim Unifi Setup das Cloud Konto umgehen, die Frage ist nur wie lange noch.

NOCling

Ich habe mich jetzt wieder beruhig!

Aber da ich das Update von v1 auf v2 bei meinem Key G2 einfach mal so gemacht hatte und ich bis gerade keinen UI Account hatte, kam ich zwar noch an den Controller, aber nicht an meine Key ran.

Also aus dem Rack geschraubt, Reset und neu, zuvor ein Backup vom Controller gezogen.

Dann UI Account angelegt, 2F hinterlegt, Backup zurück, Coud Management abgeschaltet, SSH an.
Lokalen user angelegt, der kann das Cloud Management nicht steuern, aber ich kommen an den Key und den Controller als Superuser ran.

So wie früher, den UI Account im KeePass archiviert für schlechte Zeiten.

Funktioniert ja jetzt wieder wie früher, das SSO ist schon sehr geil!

Aber das mit dem UI Accound hätte ich mir beim Update gewünscht, das habe ich erst in den Release Notes gefunden.
Hier wäre eine Warnung schick gewesen, sollte ich die übersehen haben, Asche auf mein Haupt.

Nach dem Setup fragte der Key nach eine Bewertung, da gabs dann wegen dem Cloud zwang nur einen Stern.

Edit:
Der SoC wäre auch was für ein SG, ich meine 8 A53 Kerne mit 1,8-2,2GHz ist schon geil, dazu dann 8GB Ram und du hast 5-6 mal so viel Power wie in der kleisten ARM Kiste.
Die legt sich dann mit einer 5100er an.

slu

@nocling
das ist komisch das Du an den Controller gekommen bist, aber nicht an den Key.

Um weiterhin ohne Cloud Zwang die Version 2.x zu nutzen hilft nur Reset, Version 1.x installieren, einrichten und dann das Upgrade auf 2.x.

NOCling

Das hatte ich ja und da der UI Accound der Gerätebesitzer wird, kommst du nicht mehr dran.

UI Cloud Account ist ja jetzt gesichert mit 2F und der Zugriff im Key abgeschaltet.
Mit meinem lokalen User ist wieder alles gut, mein UI User ist jetzt Key Besitzer.

Damit kann ich leben.
Im UI Account ist wie immer ein generiertes PW drin, wenn das einen knackt, WTF.

slu

@nocling said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Das hatte ich ja und da der UI Accound der Gerätebesitzer wird, kommst du nicht mehr dran.

Ah deshalb, ich hatte nie einen UI Account bis zur Firmware 2.x und einer Neuinstallation an einem anderen Standort, sonst hätte ich das gar nicht gemerkt.

slu

@viragomann said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Könnte vielleicht zum Albtraum werden.

Das scheint passiert zu sein:
https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/

Bin ich froh das wir ein System aus verschiedenen Herstellern haben.

viragomann

@slu
Wahnsinn! Der Hackerangriff war offenbar äußerst erfolgreich.

Solche tiefgehenden Details und damit das wahre Ausmaß des Datenlecks erfährt man auch nur, wenn ein Insider die Geschichte ausplaudert.

Bemerkenswert ist, dass die betroffenen Konzerne immer wieder in ihren Aussendungen betonen, dass das Sicherheitsleck ein Partnerunternehmen / Drittanbieter betrifft, niemal sie selbst, was offenbar die eignene Verantwortung schmälern sollte.
Erst von dem Wistleblower ist hier zu erfahren, was da wirklich Sache ist, dass diese Lücke voll und ganz Ubiquiti selbst zu verantworten hat. Um die Sicherheit ihrer Infrastruktur müssen sie sich schon selbst kümmern, um so mehr, wenn sie in dier Cloud liegt.

Überdies, in den Vertrags- und Datenschutzbedingungen wird ja immer wieder auf Partnerunternehmen / Drittanbieter hingewiesen, mit welchen die Daten geteilt werden, wer diese sind, findet aber nie Erwähnung. Auch auf Nachfrage gibt es selten Auskunft dazu.

m0nji

Was mir daran etwas sauer aufstößt, dass selbst Leute wie Lawrence Systems diese Berichte verharmlosen und so abtun, als wenn es das normalste auf der Welt ist.
Krebs Whistleblower Says Ubiquiti Breach was “Catastrophic”
Sind wir Deutschen mittlerweile einfach zu kleinkariert?