Unifi Cloud Account Zwang - CloudKey Firmware 2.x

slu

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

@slu vielleicht kannst du mal Screens zeigen von der Userverwaltung bzw. dem Remote Access? Ob man lokale Super-Admins hinzufügen und den anderen damit deaktivieren kann?

Sorry deine Antwort kam wärend ich geschrieben habe, es ist leider unmöglich den owner account zu entfernen.

Solltest Du einen CloudKey Gen2 von 1.x auf 2.x upgraden hast Du das Problem nicht. Neuinstallation des CloudKey Gen2 mit Firmware 2.x geht nur mit Internetzugang und UI Account.

Edit: Kann leider keinen Screenshot machen weil das System an einem anderen Standort läuft auf den ich noch kein Remote Zugang habe.
Ja man kann lokale Super-Admins anlegen und sich damit lokal anmelden, aber den owner UI Account damit nicht löschen.

JeGr

@slu Meh, das ist wirklich eher ein Rückschritt. Aber zumindest den Remote Access von außen ausschaltbar machen war Pflicht. Somit kann man sich zwar dann mit dem Cloud Account anmelden - wie gesagt macht das ja begrenzt sogar Sinn wegen Beta und sonstigen Settings - aber dass er auch nicht mehr ohne Netz installierbar ist, wirkt schon seltsam.

Allerdings war das - glaube ich - anfangs bei der UDM auch so, das muss dann wohl mal wieder ein paar Iterationen durchlaufen damit es laut genug kracht seufz...

Controller selbst scheint davon ja nach wie vor nicht betroffen zu sein, das ist aber leider eben eher ein Grund, die CloudKeys und UDM (und USGs) nicht zu kaufen und lieber den Controller extern einzusetzen wenn sie das durchziehen.

slu

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Controller selbst scheint davon ja nach wie vor nicht betroffen zu sein, das ist aber leider eben eher ein Grund, die CloudKeys und UDM (und USGs) nicht zu kaufen und lieber den Controller extern einzusetzen wenn sie das durchziehen.

Ja eigenen Controller bauen wäre meine nächste Idee gewesen.
Vielleicht wird der Cloud Zwang wieder ausgebaut, ich bin gespannt.

viragomann

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Controller selbst scheint davon ja nach wie vor nicht betroffen zu sein

Ich hoffe, das bleibt auch so. Einen Controller in einer VM oder einem Container laufen zu lassen, war eh mein angedachter Einsatzzweck.
Doch fürchte ich, nachdem sich das beim Cloudkey durchgesetzt hat, ist als nächstes die Controller-SW dran.

JeGr

@viragomann said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Controller selbst scheint davon ja nach wie vor nicht betroffen zu sein

Ich hoffe, das bleibt auch so. Einen Controller in einer VM oder einem Container laufen zu lassen, war eh mein angedachter Einsatzzweck.
Doch fürchte ich, nachdem sich das beim Cloudkey durchgesetzt hat, ist als nächstes die Controller-SW dran.

Nope, daran glaube ich keine Sekunde. Worum es beim CloudKey ging war die "Unification" der Geräte. Dass das kommt war klar (leider) aber schneller als gedacht. Man hat mit den UDM / UDMpro jetzt sein eigenes MiniOS gebaut auf dem man aufsetzt und daher den alten Debian Unterbau weggeworfen. Das kann gut und schlecht sein, momentan bin ich zwiegespalten. Mir persönlich hat der nämlich sehr gefallen.

Der Controller war und ist aber schon immer nur ein Stück Java Software gewesen. Da sollte nicht wirklich plötzlich ein OS drunter auftauchen, das wäre seltsam

Und selbst die neue FW2 nutzt ja jetzt den gleichen Controller wie vorher. Nur die darunterliegende Firmware ist halt jetzt "neuer". Denke das kam im Zuge der neuen Gen2 Switche und Kram, die dann ein neues OS brauchen wenn sie denen Layer3 Features spendieren wollen. Und dann machts Sinn nicht für UDM, Switche, Cloudkey etc. jeweils eigene Basis OSe pflegen zu müssen. Kann ich nachvollziehen. :)

slu

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Man hat mit den UDM / UDMpro jetzt sein eigenes MiniOS gebaut auf dem man aufsetzt und daher den alten Debian Unterbau weggeworfen.

Ist immer noch ein Debian, was mich ja sehr freut :)

Firmware version: v2.0.24
                .--.__                              ________
  ______ __ .--(    ) )-.   __ __                  |        |
 |      |  (._____.__.___)_|  |  |__ _____ __ __   |___|    |
 |   ---|  ||  _  |  |  |  _  |    <|  -__|  |  |   /    ___|
 |______|__||_____|_____|_____|__|__|_____|___  |  |        |
        (c) 2020 Ubiquiti Inc.            |_____|  |________|

      Welcome to the CloudKey G2!
root@unifi:/# cat /etc/debian_version 
9.13

NetMartin23

root@unifick2 ??? genau meine Art von Humor ;)

slu

@netmartin23
lach damit war natürlich Unifi und CK2 gemeint.
Ich war mal so frei und habe das editiert...

JeGr

@slu said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

@jegr said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Man hat mit den UDM / UDMpro jetzt sein eigenes MiniOS gebaut auf dem man aufsetzt und daher den alten Debian Unterbau weggeworfen.

Ist immer noch ein Debian, was mich ja sehr freut :)

Firmware version: v2.0.24
                .--.__                              ________
  ______ __ .--(    ) )-.   __ __                  |        |
 |      |  (._____.__.___)_|  |  |__ _____ __ __   |___|    |
 |   ---|  ||  _  |  |  |  _  |    <|  -__|  |  |   /    ___|
 |______|__||_____|_____|_____|__|__|_____|___  |  |        |
        (c) 2020 Ubiquiti Inc.            |_____|  |________|

      Welcome to the CloudKey G2!
root@unifi:/# cat /etc/debian_version 
9.13

Interessant, eigentlich war ich der Annahme, dass das neue UniOS was sie da drunterpacken kein Debian mehr ist. War das ein Update oder eine Neuinstallation vom Key? Nicht dass da einfach noch Rudimente drauf sind? :)

Ansonsten schön, aber dann verstehe ich nicht, warum sie das noch so extrem weiter abspecken...

slu

So ich hab heute mal ein Debian 9 installiert und dann direkt das Unifi .deb, das funktioniert auch.
Noch kann man beim Unifi Setup das Cloud Konto umgehen, die Frage ist nur wie lange noch.

NOCling

Ich habe mich jetzt wieder beruhig!

Aber da ich das Update von v1 auf v2 bei meinem Key G2 einfach mal so gemacht hatte und ich bis gerade keinen UI Account hatte, kam ich zwar noch an den Controller, aber nicht an meine Key ran.

Also aus dem Rack geschraubt, Reset und neu, zuvor ein Backup vom Controller gezogen.

Dann UI Account angelegt, 2F hinterlegt, Backup zurück, Coud Management abgeschaltet, SSH an.
Lokalen user angelegt, der kann das Cloud Management nicht steuern, aber ich kommen an den Key und den Controller als Superuser ran.

So wie früher, den UI Account im KeePass archiviert für schlechte Zeiten.

Funktioniert ja jetzt wieder wie früher, das SSO ist schon sehr geil!

Aber das mit dem UI Accound hätte ich mir beim Update gewünscht, das habe ich erst in den Release Notes gefunden.
Hier wäre eine Warnung schick gewesen, sollte ich die übersehen haben, Asche auf mein Haupt.

Nach dem Setup fragte der Key nach eine Bewertung, da gabs dann wegen dem Cloud zwang nur einen Stern.

Edit:
Der SoC wäre auch was für ein SG, ich meine 8 A53 Kerne mit 1,8-2,2GHz ist schon geil, dazu dann 8GB Ram und du hast 5-6 mal so viel Power wie in der kleisten ARM Kiste.
Die legt sich dann mit einer 5100er an.

slu

@nocling
das ist komisch das Du an den Controller gekommen bist, aber nicht an den Key.

Um weiterhin ohne Cloud Zwang die Version 2.x zu nutzen hilft nur Reset, Version 1.x installieren, einrichten und dann das Upgrade auf 2.x.

NOCling

Das hatte ich ja und da der UI Accound der Gerätebesitzer wird, kommst du nicht mehr dran.

UI Cloud Account ist ja jetzt gesichert mit 2F und der Zugriff im Key abgeschaltet.
Mit meinem lokalen User ist wieder alles gut, mein UI User ist jetzt Key Besitzer.

Damit kann ich leben.
Im UI Account ist wie immer ein generiertes PW drin, wenn das einen knackt, WTF.

slu

@nocling said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Das hatte ich ja und da der UI Accound der Gerätebesitzer wird, kommst du nicht mehr dran.

Ah deshalb, ich hatte nie einen UI Account bis zur Firmware 2.x und einer Neuinstallation an einem anderen Standort, sonst hätte ich das gar nicht gemerkt.

slu

@viragomann said in Unifi Cloud Account Zwang - CloudKey Firmware 2.x:

Könnte vielleicht zum Albtraum werden.

Das scheint passiert zu sein:
https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/

Bin ich froh das wir ein System aus verschiedenen Herstellern haben.

viragomann

@slu
Wahnsinn! Der Hackerangriff war offenbar äußerst erfolgreich.

Solche tiefgehenden Details und damit das wahre Ausmaß des Datenlecks erfährt man auch nur, wenn ein Insider die Geschichte ausplaudert.

Bemerkenswert ist, dass die betroffenen Konzerne immer wieder in ihren Aussendungen betonen, dass das Sicherheitsleck ein Partnerunternehmen / Drittanbieter betrifft, niemal sie selbst, was offenbar die eignene Verantwortung schmälern sollte.
Erst von dem Wistleblower ist hier zu erfahren, was da wirklich Sache ist, dass diese Lücke voll und ganz Ubiquiti selbst zu verantworten hat. Um die Sicherheit ihrer Infrastruktur müssen sie sich schon selbst kümmern, um so mehr, wenn sie in dier Cloud liegt.

Überdies, in den Vertrags- und Datenschutzbedingungen wird ja immer wieder auf Partnerunternehmen / Drittanbieter hingewiesen, mit welchen die Daten geteilt werden, wer diese sind, findet aber nie Erwähnung. Auch auf Nachfrage gibt es selten Auskunft dazu.

m0nji

Was mir daran etwas sauer aufstößt, dass selbst Leute wie Lawrence Systems diese Berichte verharmlosen und so abtun, als wenn es das normalste auf der Welt ist.
Krebs Whistleblower Says Ubiquiti Breach was “Catastrophic”
Sind wir Deutschen mittlerweile einfach zu kleinkariert?

JeGr

@m0nji vielleicht muss man Berichte bis zur vollständigen Aufarbeitung auch einfach mit einem Gramm Salz nehmen und selbst ein wenig recherchieren.

Was mich bspw. wundert bei dem Blogbeitrag sind die Lücken bzw. Punkte auf die nicht eingegangen wurde sondern die einfach als As-is in den Raum gestellt werden.

Mio Geräte hätten angeblich laut Whistleblower also gehackt werden können. Wird aber nicht belegt bzw darauf eingegangen wie. Ja es war jemand in UIs System aber - zumindest theoretisch ist es so dargestellt und konfiguriert - eine Verbindung mit einem Controller kann nur ein User via Web und seinem Cloud Account starten. Es steht jetzt einfach mal im Raum ob da jemand sich hätte selbst starten und initialisieren können und dann noch selbst aktivieren. Eigentlich geht das nämlich nicht. Ähnlich wie bei bspw. Teamviewet o.aä. ich auch als Mitarbeiter dort nicht einfach eine Session zum Kunden Gerät initiieren kann weil die Infrastruktur so gebaut ist (sein sollte) dass sie nur Zugriffe vermittelt. Aber automagisch authentifizieren kann sie nicht.

Daher: kann Natürlich richtig übel (gewesen) sein, aber kann auch einfach mehr Drama sein als es tatsächlich war. Und da wir in den Jahren der Hacks momentan sind könnte auch jemand einfach mal Drama machen um Stocks zu shorten - nicht dass das je irgendwer machen würde oder so... Will ich auch gar nicht unterstellen. Aber es gab in letzter Zeit eben häufiger auch mal Geschrei was ganz einfach nur Aufmerksamkeit wollte und eben weniger heiß gegessen wurde als gekocht.

Daher keine Ahnung was Lawrence oder andere da genau sagen, nur den Artikel gerade gelesen und neben dem ganzen OMG DRAMA ZZ11! hatte ich hinterher einige Fragen die komplett unbeantwortet blieben und einfach eher nach clickbait aussahen als nach Recherche.

slu

Inzwischen ist wieder ein offline Setup ohne UI Account möglich.
Sehr schön das Ubiquiti hier reagiert hat.