W wyniku włamania do infrastruktury firmy Verkada, która dostarcza inteligentne kamery monitorujące ze wsparciem rozpoznawania twarzy, napastnicy uzyskali pełny dostęp do ponad 150 tys. kamer wykorzystywanych w takich firmach jak Cloudflare, Tesla, OKTA, Equinox, a także w wielu bankach , więzienia, szkoły, komisariaty policji i szpitale.
Członkowie grupy hakerskiej APT 69420 Arson Cats wspomnieli, że mieli dostęp roota do urządzeń w wewnętrznej sieci CloudFlare, Tesla i Okta, a jako dowód podali nagrania wideo obrazów z kamer oraz zrzuty ekranu z wynikami wykonywania typowych poleceń w powłoce . Napastnicy twierdzili, że gdyby chcieli, w ciągu tygodnia mogliby przejąć kontrolę nad połową Internetu.
Włamanie do Verkady zostało przeprowadzone poprzez niezabezpieczony system jednego z programistów, bezpośrednio podłączony do sieci globalnej. Na tym komputerze znaleziono parametry konta administratora z uprawnieniami dostępu do wszystkich elementów infrastruktury sieciowej. Uzyskane uprawnienia wystarczyły do połączenia się z kamerami klienckimi i uruchomienia na nich poleceń powłoki z uprawnieniami roota.
Przedstawiciele Cloudflare, obsługującego jedną z największych sieci dostarczania treści, potwierdzili, że atakującym udało się uzyskać dostęp do kamer monitorujących Verkada służących do monitorowania korytarzy i drzwi wejściowych w niektórych biurach, które są zamknięte od około roku. Natychmiast po wykryciu nieautoryzowanego dostępu Cloudflare odłączył wszystkie problematyczne kamery od sieci biurowych i przeprowadził audyt, który wykazał, że atak nie miał wpływu na dane klientów i przepływ pracy. Dla ochrony Cloudflare wykorzystuje model Zero Trust, który polega na izolowaniu segmentów i dbaniu o to, aby włamanie do poszczególnych systemów i dostawców nie doprowadziło do kompromitacji całej firmy.
Źródło: opennet.ru