Podle HPE hackeři prolomili Aruba Central pomocí ukradeného přístupového klíče

Zpět na blog

Společnost HPE zveřejnila, že úložiště dat pro její platformu pro monitorování sítě Aruba Central byla kompromitována a aktér hrozby získal přístup ke shromážděným údajům o monitorovaných zařízeních a jejich umístění.

Aruba Central je cloudové síťové řešení, které umožňuje správcům spravovat rozsáhlé sítě a komponenty z jediného ovládacího panelu. Společnost HPE zveřejnila, že aktér hrozby získal „přístupový klíč“, který mu umožnil prohlížet data zákazníků uložená v prostředí Aruba Central. Aktér hrozby měl neoprávněný přístup po dobu 18 dní mezi 9. říjnem 2021 a 27. říjnem, kdy společnost HPE klíč zrušila. Kompromitovaná úložiště obsahovala dvě datové sady, jednu pro síťovou analýzu a druhou pro funkci „contract tracing“ systému Aruba Central.

„Jedna datová sada (‚síťová analytika‘) obsahovala síťová telemetrická data většiny zákazníků Aruba Central o klientských zařízeních Wi-Fi připojených k zákaznickým sítím Wi-Fi. Druhá datová sada (‚contact tracing‘) ‚obsahovala údaje o klientských zařízeních Wi-Fi zaměřené na polohu, včetně toho, která zařízení se nacházela v blízkosti jiných klientských zařízení Wi-Fi,“ objevilo se ve vyjádření k incidentu.

Soubor dat pro síťovou analýzu kompromitovaný v těchto úložištích obsahoval adresy MAC, adresy IP, operační systémy, názvy hostitelů a v případě ověřených sítí Wi-Fi také uživatelské jméno osoby. Soubor dat pro contact tracing obsahoval také datum, čas a přístupové body Wi-Fi, ke kterým byli uživatelé připojeni, což potenciálně umožnilo aktérovi hrozby sledovat obecné okolí polohy uživatelů.

„Úložiště dat obsahovala také záznamy o datu, čase a fyzickém přístupovém bodu Wi-Fi, ke kterému bylo zařízení připojeno, což mohlo umožnit určit obecné okolí polohy uživatele. Prostředí neobsahovalo žádné citlivé nebo zvláštní kategorie osobních údajů (ve smyslu GDPR),“ objevilo se rovněž ve vyjádření k incidentu.

Vzhledem k tomu, že ve vyjádření HPE bylo několikrát zmíněno slovo „bucket“, získal aktér hrozby pravděpodobně přístupový klíč k úložnému bucketu, který platforma používá.

Po provedení vyšetřování narušení dospěla společnost HPE k tomuto závěru:

V žádném okamžiku nebyla v prostředí uložena data déle než 30 dní, protože data ve funkcích síťové analýzy a contract tracing v prostředí Aruba Central jsou automaticky mazána každých 30 dní.

Prostředí obsahovalo osobní údaje, ale žádné citlivé osobní údaje. Osobní údaje zahrnují adresy MAC, adresy IP, typ operačního systému zařízení a název hostitele a některá uživatelská jména. Údaje o sledování kontaktů zahrnovaly také název přístupového bodu (AP) uživatelů, jejich blízkost a dobu připojení k danému AP.

Pravděpodobnost, že došlo k přístupu k vašim osobním údajům, je na základě rozsáhlé analýzy přístupů a vzorců provozu velmi nízká.

Informace citlivé z hlediska zabezpečení nebyly ohroženy, a proto se nedomníváme, že je nutné měnit hesla, klíče nebo měnit konfiguraci sítě.

Společnost HPE uvádí, že mění způsob ochrany a ukládání přístupových klíčů, aby zabránila podobným incidentům v budoucnosti.

Podle svého vyjádření je společnost obeznámena se způsobem, jak aktéři hrozby získali přístup, a přijala opatření, aby tomu v budoucnu zabránila. Přístupové klíče nebyly vázány na interní systémy společnosti a ty nebyly při tomto incidentu nijak dotčeny.

Zdroj: Bleepingcomputer

24. 11. 2021