У выніку ўзлому інфраструктуры кампаніі Verkada, якая займаецца пастаўкай разумных камер назірання з падтрымкай распазнання асоб, зламыснікі атрымалі поўны доступ да больш за 150 тысяч камер, якія выкарыстоўваюцца ў такіх кампаніях, як Cloudflare, Tesla, OKTA, Equinox, а таксама ў многіх банках, турмах, школах. , паліцэйскі ўчастках і бальніцах.
Удзельнікі хакерскай групы APT 69420 Arson Cats згадалі аб наяўнасці ў іх root-доступу на прыладах ва ўнутранай сетцы CloudFlare, Tesla і Okta, прывялі ў якасці доказу відэазапісу малюнкаў з камер і скрыншоты з вынікамі выканання тыпавых каманд у shell. Атакуючыя заявілі, што пры жаданні за тыдзень змаглі б атрымаць кантроль над паловай інтэрнэту.
Узлом Verkada быў ажыццёўлены праз неабароненую сістэму аднаго з распрацоўшчыкаў, наўпрост падлучаную да глабальнай сеткі. На дадзеным кампутары былі знойдзеныя параметры ўліковага запісу адміністратара, які мае права доступу да ўсіх элементаў сеткавай інфраструктуры. Атрыманых правоў аказалася дастаткова для падлучэння да камер кліентаў і запуску на іх shell-каманд з правамі root.
Прадстаўнікі кампаніі Cloudflare, якая падтрымлівае адну з найбуйнейшых сетак дастаўкі кантэнту, пацвердзілі, што атакавалыя змаглі атрымаць доступ да камер назірання Verkada, выкарыстоўваным для кантролю над калідорамі і ўваходнымі дзвярыма ў некаторых офісах, якія былі зачыненыя ўжо каля года. Адразу пасля выяўлення несанкцыянаванага доступу кампанія Cloudflare адключыла ўсе праблемныя камеры ад офісных сетак і правяла аўдыт, які паказаў, што падчас нападаў не былі закрануты дадзеныя кліентаў і працоўныя працэсы. Для абароны ў Cloudflare прымяняецца мадэль нулявога даверу (Zero Trust), якая прадугледжвае ізаляцыю сегментаў і гарантуе, што ўзлом асобных сістэм і пастаўшчыкоў не прывядзе да кампраметацыі ўсёй кампаніі.
Крыніца: opennet.ru