Ingon usa ka sangputanan sa pag-hack sa imprastraktura sa Verkada, nga nagsuplay sa mga smart surveillance camera nga adunay suporta alang sa pag-ila sa nawong, ang mga tig-atake nakakuha og bug-os nga pag-access sa labaw sa 150 ka libo nga mga camera nga gigamit sa mga kompanya sama sa Cloudflare, Tesla, OKTA, Equinox, ingon man sa daghang mga bangko. , mga prisohan, ug mga eskwelahan , mga estasyon sa pulis ug mga ospital.
Ang mga miyembro sa hacker nga grupo nga APT 69420 Arson Cats naghisgot nga sila adunay root access sa mga device sa internal nga network sa CloudFlare, Tesla ug Okta, ug gikutlo isip ebidensya nga pagrekord sa video sa mga hulagway gikan sa mga camera ug mga screenshot nga adunay mga resulta sa pagpatuman sa tipikal nga mga sugo sa kabhang. . Ang mga tig-atake miingon nga kung gusto nila, mahimo nilang makontrol ang katunga sa Internet sa usa ka semana.
Ang Verkada hack gihimo pinaagi sa usa ka walay panalipod nga sistema sa usa sa mga developers, direkta nga konektado sa global network. Sa kini nga kompyuter, nakit-an ang mga parameter sa usa ka account sa administrator nga adunay mga katungod sa pag-access sa tanan nga mga elemento sa imprastraktura sa network. Ang mga katungod nga nakuha igo na aron makonektar sa mga camera sa kliyente ug magpadagan sa mga shell command sa kanila nga adunay mga katungod sa gamut.
Ang mga representante sa Cloudflare, nga nagmintinar sa usa sa pinakadako nga mga network sa paghatud sa sulod, nagpamatuod nga ang mga tig-atake nakahimo sa pag-access sa Verkada surveillance camera nga gigamit sa pag-monitor sa mga koridor ug mga pultahan sa pagsulod sa pipila ka mga opisina nga sirado sulod sa mga usa ka tuig. Diha-diha dayon human sa pag-ila sa dili awtorisado nga pag-access, giputol sa Cloudflare ang tanang problema nga mga kamera gikan sa mga network sa opisina ug nagpahigayon og usa ka pag-audit nga nagpakita nga ang datos sa kustomer ug mga workflow wala maapektuhan sa panahon sa pag-atake. Alang sa proteksyon, ang Cloudflare naggamit sa usa ka Zero Trust nga modelo, nga naglakip sa paglain sa mga bahin ug pagsiguro nga ang pag-hack sa indibidwal nga mga sistema ug mga suppliers dili mosangpot sa pagkompromiso sa tibuok nga kompanya.
Source: opennet.ru