9. března 2021 byla společnost Verkada, softwarová společnost specializující se na výrobu bezpečnostních kamer pro monitorování kontroly fyzického přístupu, napadena hackery.
Ti získali přístup k videům nejméně 15 tisíc kamer rozmístěných na různých místech a odhalili vnitřní fungování nemocnic, klinik a ústavů pro duševní zdraví, bank, policejních stanic, věznic, škol a společností jako Tesla a Cloudflare.
Tento incident svědčí o tom, jak moc jsme sledováni, a že je často věnována malá pozornost zabezpečení platforem, které se k tomu používají. Než se však pustíme do podrobností – jak došlo k útoku na Verkadu?
Útočníci tvrdí, že se jim podařilo získat přihlašovací údaje, které byly veřejně dostupné online,
s právy superadministrátora, což jim umožnilo přístup k jakékoli kameře patřící kterémukoli z klientů společnosti.
Nejen, že práva superadministrátora poskytovala přístup k video kanálům, ale také poskytovala přístup ke kořenovému
shellu uvnitř kamer běžících u každého zákazníka.
Zero Trust princip: historie se opakuje
Některé organizace v zásadě poskytují uživatelům neomezený přístup, místo aby uživatelům poskytovali pouze přístup, který opravdu potřebují. Po tomto incidentu bylo zjištěno, že téměř každý zaměstnanec Verkada měl oprávnění superadministrátora.
Přístup na server nebyl monitorován
Podle společnosti získali útočníci přístup prostřednictvím serveru Jenkins, který používá tým podpory k provádění operací hromadné údržby na zákaznických kamerách.
Pokud by byl server Jenkins monitorován Verkadou na neoprávněný přístup od neznámých hostitelů (vně jejich sítě), mohl být útok zastaven již na svém počátku.
Monitorovat všechny servery, uživatele a koncová zařízení připojená k vaší síti. To je další část Zero Trust principu.
Nativní funkce a nástroje systému nebyly sledovány
Hackeři uvedli, že se jim podařilo získat root přístup ke kamerám. Získání této úrovně přístupu nevyžadovalo další hackování, útočníci byli schopni využít každou vestavěnou nebo předinstalovanou funkci kamer, případně spouštět vlastní scripty.
Jde o rostoucí trend kybernetických útoků, kdy útočníci využívají příkazového řádku a dalších součástí operačního systému. Mohou tak spojit své škodlivé akce se skutečnými, autorizovanými procesy.
Monitorování částí operačního systému (jako jsou změny klíčů registru, aktivity příkazového řádku a změn politik), které původně nemohl nikdo kromě administrátorů upravit, je zásadní pro detekci přítomnosti útočníků ve vaší síti.
Abychom to shrnuli – ve společnosti Verkada nedokázali řešit tři důležité zásady pro zabezpečení IAM.
- Nepodařilo se zabezpečit přihlašovací údaje, protože účty superadministrátorů byly veřejně vystaveny na internetu.
- Neomezený, autorizovaný přístup ke všem zdrojům byl splněným snem nejen pro zaměstnance, ale také pro útočníky, protože administrátorská oprávnění byla zaměstnancům udělena nahodile.
- Verkada neměla přehled o akcích na serveru Jenkins, ani o příkazech provedených pod oprávněním root. Taktéž nebyly monitorovány pokusy o přístup k archivovaným videozáznamům z kamer v klientských organizacích.
Verkada neměla žádné řešení end-to-end správy a monitorování IAM. I přes to, že jej má každá společnost na dosah ruky.
Podívejte se na naše integrované řešení IAM – ManageEngine AD360, postavené tak, aby splňovalo požadavky IAM a kybernetické bezpečnosti dnešního IT světa. Vylepšete své IAM, než bude příliš pozdě!