Kategoriler
CloudFlare

Verkada kamera hacklemesi hakkında

8 ve 9 Mart 2021

Cloudflare, San Francisco, Austin, New York, Londra ve Singapur’daki ofislerimizdeki kameralar için Verkada adlı bir satıcı kullanıyor. Ofislerimizin giriş, çıkış ve ana caddelerinde kullanılan bu kameralar, neredeyse bir yıldır kapalı olan ofislerin güvenliğini sağlamanın bir parçası olmuştur.

Dün, bir bilgisayar korsanının bu kameraları uzaktan yönetmek için Verkada’nın dahili destek araçlarına erişmesine ve bunlara uzak bir kök kabuk aracılığıyla erişmesine izin veren bir Verkada ihlalinden haberdar olduk. İhlal bize bildirilir bildirilmez, daha fazla erişimi önlemek için tüm ofis yerlerimizdeki kameraları kapatmaya başladık.

Açık olmak gerekirse: bu hack kameraları etkiledi ve başka hiçbir şey olmadı. Hiçbir müşteri verilerine erişilmedi, üretim sistemleri yok, veritabanları yok, şifreleme anahtarları yok, hiçbir şey yok. Bazı basın raporları, Verkada’da bulunan bir yüz tanıma özelliğini kullandığımızı gösteriyor. Bu doğru değil. Biz değil.

Dahili sistemlerimiz müşterilerimize sunduğumuz Sıfır Güven modelini takip eder ve bu nedenle kurumsal ofis ağlarımız diğer konumlarımız veya veri merkezlerimiz tarafından dolaylı olarak güvenilmez. Güvenlik açısından kurumsal konumlarımızdan birinden bağlanmak, Cloudflare olmayan bir konumdan bağlanmaktan farklı değildir.

Bu kamera cihazları ihlal edilmiş olsa da, her çalışanın bir şirket ağında kök kabuğu gibi bir şeye sahip olduğunu anlamak önemlidir. Kötü amaçlı yazılımları ağınızdan uzak tutmak için arka plan kontrollerine, kimlik avı eğitimlerine ve diğer tehditlere veya şüpheli web sitelerini ziyaret etmeme politikalarına güvenmek yeterli değildir. Bu olay, Cloudflare’nin takip ettiği ve müşterilere sunduğu Sıfır Güven modelinin önemini vurguluyor, bu da herhangi bir sistem veya satıcının tehlikeye girmesi durumunda tüm organizasyondan ödün vermemesini sağlıyor.

Örneğin, Twitter’da Cloudflare CEO’su Matthew Prince’in dizüstü bilgisayarına erişmenin mümkün olabileceği iddiası ortaya çıktı.

Bu iddia birkaç nedenden dolayı sahte. Birincisi, Matthew, COVID-19 nedeniyle San Francisco ofisinde değil. Hiçbirimiz değiliz. Yani kurumsal San Francisco ağında olmak sizi onun veya benim makineme yaklaştırmaz.

İkincisi, bir saldırgan bir şekilde dizüstü bilgisayarına girse bile, yine de Zero Trust ürünümüz Cloudflare Access aracılığıyla uygulama başına, sabit anahtar korumalı erişim kontrolünü geçmek zorunda kalacaktı.

Ve bir başka iddia da saldırganların “Cloudflare ağının içinde bir kök kabuğa” sahip olduğuydu.

Bu korkutucu gelebilir ama kurumsal ağımıza güvenmiyoruz; Kaynaklara erişimi kontrol etmek için Cloudflare Access gibi ürünlerimizi kullanıyoruz. Saldırganın kurumsal ağ içindeki bir makineye erişiminin olması, kurumsal WiFi ağımıza bağlanmış olsalardı sahip olacakları erişim türünden daha iyi değildir. Ağ önemli değil, önemli olan erişim kontrolüdür.

Elbette, kurumsal ağın eski kale ve hendek tarzını kullanıyor olsaydık (kurumsal ağdaki herhangi bir şeye ve herhangi bir kişiye doğası gereği güvenilir) sonuç farklı olabilirdi.

Sıfır Güven’in bu kadar güçlü olmasının nedeni budur. COVID-19 nedeniyle hepimizin evden çalışmasına izin verdi ve bu, ofis ağına giren bir saldırganın daha fazla ilerleyemeyeceği anlamına geliyor.

İç İzleme

İzleme ve ağ saldırı tespit sistemimiz, Verkada uzlaşmasını yakaladı ve kameralardan hangi ağ bağlantılarının yapıldığını tam olarak gösterebildi. Ek olarak, Verkada bize kameralarımızda yürütülen komutların kaydını da sağlayabildi.

Bazı basın hikayeleri, kameralardan birinin üzerindeki “kök kabuk” görüntüsünü içerir. Saldırganın whoamiifconfigve gibi komutları çalıştırdığını gösterir curl ifconfig.me.

İşte davetsiz misafir tarafından 8 Mart’ta yürütülen komutlar (Verkada’nın 9 Mart’ta yürütülen komutları bize sağlamasını bekliyoruz, ancak diğer izleme ve kayıt araçlarımız bize bu komutların ne olacağı konusunda iyi bir fikir veriyor):

2358 Singapore       curl ifconfig.me

2357 New York        curl ifconfig.me

2352 San Francisco   curl ifconfig.me
2352 San Francisco   ifconfig
2352 San Francisco   whoami

1451 San Francisco   ifconfig
1451 San Francisco   whoami

İşte kameralardan gelen trafiğin bir kaydı. Olağandışı DNS sorgularıyla başlayalım. Bu, biri Londra’da diğeri Singapur’da olmak üzere San Francisco’daki iki kameradan DNS aramalarını gösterir. Çoğunlukla saldırgan, harici IP adresini bulmak için ifconfig.me kullanıyordu.

San Francisco’da Cloudflare’nin ana web sitesine, mevcut olmayan bir yönetici paneline (admin.cloudflare.com yok) ve example.com ile değiştirdiğim belirli bir müşteriye (bilgisayar korsanı ayrıca admin.example’ı denedi. com.tr).

2021-03-09T00:01:15.373343Z	London	ifconfig.me
2021-03-09T00:01:15.373343Z	London	ifconfig.me
2021-03-09T00:01:15.372302Z	London	ifconfig.me
2021-03-09T00:01:15.371451Z	London	ifconfig.me

2021-03-09T00:01:00.580199Z	San Francisco	admin.example.com
2021-03-09T00:00:56.818201Z	San Francisco	admin.cloudflare.com.as13335.com
2021-03-09T00:00:56.768506Z	San Francisco	admin.cloudflare.com
2021-03-09T00:00:50.285755Z	San Francisco	ff.as13335.com
2021-03-09T00:00:45.014855Z	San Francisco	example.com
2021-03-09T00:00:45.011649Z	San Francisco	example.com
2021-03-09T00:00:33.418232Z	San Francisco	cloudflare.com
2021-03-08T23:59:49.677219Z	San Francisco	ifconfig.me
2021-03-08T23:59:49.677216Z	San Francisco	ifconfig.me

2021-03-08T23:59:27.261902Z	Singapore	cloudflare.com
2021-03-08T23:59:27.25919Z	Singapore	cloudflare.com
2021-03-08T23:58:30.274265Z	Singapore	ifconfig.me
2021-03-08T23:58:30.274155Z	Singapore	ifconfig.me

2021-03-08T23:52:23.145321Z	San Francisco	ifconfig.me

Bazı taleplerini HTTP kullanarak yaptılar ve biz bu istekleri yakaladık

2021-03-09T00:01:15.375176Z London
ifconfig.me GET /
curl/7.71.1
200 OK

2021-03-09T00:01:00.630747Z San Francisco
admin.example.com GET /
curl/7.64.0
301 Moved Permanently

2021-03-09T00:00:45.041609Z San Francisco
example.com GET /
curl/7.64.0
301 Moved Permanently

2021-03-09T00:00:33.476684Z San Francisco
cloudflare.com GET /
curl/7.64.0
301 Moved Permanently

2021-03-08T23:59:49.708081Z San Francisco
ifconfig.me GET /
curl/7.64.0
200 OK

2021-03-08T23:58:30.289352Z Singapore
ifconfig.me GET /
curl/7.64.0
200 OK

2021-03-08T23:52:23.183201Z San Francisco
ifconfig.me GET /
curl/7.64.0
200 OK

Ayrıca tam bağlantı günlüğümüz var, ancak alanın çıkarları için hepsini buraya koymayacağım.

İndirilen arşivlenmiş video

Saldırgan, San Francisco ofis lobimizin iki arşivlenmiş kaydını indirmek için Verkada araçlarını kullandı. Yalnızca 30 günlük videoyu saklarız, ancak resmi bir araştırma olduğunda belirli bir videoyu bir yıla kadar saklarız. İndirilen videolar 13 Temmuz 2020’ye kadar uzanıyor; onları bir hırsızlık soruşturmasını desteklemek için tutmuştuk. İşte bu videoların her birinden bazı fotoğraflar:

Zaman çizelgesi (UTC)

8 Mart
1451 – Verkada güvenlik kameralarına yetkisiz erişim
2352 – curl ifconfig.meSan Francisco’daki bir Cloudflare kamerasından çalıştırmak için yetkisiz erişim kullanıldı

9 Mart
0029 – San Francisco bizim ön kapı kameradan arşivlenmiş videonun izinsiz indir
0033 – San Francisco bizim asansör kameradan arşivlenmiş videonun izinsiz indir
0040 – Bizim asansör kameradan arşivlenmiş videonun ikinci izinsiz indir
1750 – Görüşülen bir muhabir tarafından kameralarla ilgili güvenlik olayı hakkında
2107 – Kameralarımıza eriştiğini iddia eden bir Twitter kullanıcısının ilk dahili raporu
2122 – Cloudflare, güvenlik kameralarımızın tüm ağ bağlantısını devre dışı bırakır
2126 – Şirketimizin dahili incelemesi ağ güvenlik kontrolleri tamamlandı
2149 – Verkada kameralarının tehlikeye atılmasıyla ilgili makale yayınlandı

Kaynak:https://blog.cloudflare.com/about-the-march-8-9-2021-verkada-camera-hack/

Hayat Paylaşınca Güzel: