Force est de constater qu’aujourd’hui, bon nombre de fabricants souhaitent éviter plus que jamais tout impact médiatique négatif sur leur entreprise et encore moins, suite à un piratage de masse touchant leurs propres infrastructures ou celles de leurs clients… Les dix dernières années fut quelque peu marquées à ce sujet par la pléthore de scandales dont certains, restent encore marqués à l’encre rouge dans la mémoire des installateurs que nous sommes ! Dahua avait essuyé une salve d’attaques sur quasiment l’ensemble de ses produits (caméras, NVR/DVR) basée sur un accès administrateur exploitable à distance avec pour résultat, la non-accessibilité des flux vidéo remplacés par un « Hacked » visible à l’écran… Totalement automatisée, cette attaque pouvait revenir en boucle au grand dam de ses utilisateurs… Toute une époque ! Cette dernière décennie ne semble avoir épargnée aucune marque et ce n’est pas le sulfureux moteur de recherche d’objets connectés vulnérable « Shodan.io » qui ira contrecarrer cette factualité… Les objets connectés ont toujours eu hélas, une mauvaise réputation.
Pourtant, bon nombre de fabricants sont devenus de parfaits élèves en matière de cybersécurité ce qui soulignons-le, est appréciable. Les numéros 1 et 2 de la vidéosurveillance mondiale en sont le parfait exemple, avec une communication sans faille des vulnérabilités critiques de leurs équipements, un suivi des produits assez stricts avec des la publication de correctifs, là où quelques années en arrière un certain laxisme en matière de sécurité était légion. L’hygiène informatique des installateurs/intégrateurs a également évoluée positivement avec une approche sécuritaire bien plus élaborée. L’usage en masse des VPN (aidé par la pandémie), des combinaisons d’authentifications fortes (là ou 5 ans en arrière, certains fabricants limitaient à 6 caractères le mot de passe… !), de changement de ports par défaut, ou encore, de la désactivation de toutes sortes de services sulfureux (UPNP, Telnet, etc.) sont partie intégrante du parfait installateur ! Selon la complexité de l’installation, le déploiement d’architectures sécurisées en passant par une séparation des réseaux de manière physique ou logique peut avoir lieu et bien plus encore… Toutefois, c’est bonnes pratiques n’empêche en rien les scandales comme le démontre l’attaque perpétrée le 8 mars 2021 sur le fournisseur Californien de vidéosurveillance VSaaS basée sur le Cloud « Verkada ». Une attaque ayant exposé de nombreuses caméras issues des usines et entrepôts Tesla (222 caméras), des bureaux du géant Cloudflare côté en bourse, de nombreux services publics aux États-Unis, hôpitaux, écoles, prisons ou encore, des commissariats de police…
News : Piratage de masse au sein de Verkada avec 150 000 caméras impactées | Comment est-ce possible ?
L’attaque du 8 Mars dernier contre la startup Californienne Verkada fondée en 2016 a été initiée par un groupe de hackers baptisé « APT-69420 Arson Cats ». Cette opération baptisée #OperationPanopticon a touché près de 150 000 caméras sur une période d’environ 36 heures… Des chiffres ramenés à la baisse avec 5 Gigaoctets de données exploitées pour environ 95 clients touchés directement par cette cyberattaque. Dans cette attaque, la liste complète des clients de Verkada ainsi que de nombreuses données financières de l’entreprise semble également avoir fuitée. De grands noms semblent avoir été touchés et l’image de Verkada risque hélas, d’en pâtir quelque peu… La médiatisation de cette affaire par la publication de vidéos émanant des ateliers Tesla ou encore, des bureaux de l’entreprise Cloudflare sur les réseaux sociaux ne semble toutefois qu’être la partie émergée de l’iceberg si l’on se réfère aux communiqués du groupe de Hackers APT-69420 Arson Cats…
La décentralisation des données par l’usage de services sur le cloud de type VSaaS proposés par des fournisseurs tels que Verkada apporte également son lot de problèmes en comparaison aux solutions plus classiques, purement locales étant certes, moins agiles. Deux écoles qui ont de nombreux arguments à faire valoir rendant leurs oppositions parfois bien difficiles. Des faits que nous avions évoqués lors d’un article dédié aux plateformes de type VSaaS. Le scepticisme de bon nombre d’utilisateurs à passer vers ce type de service à la demande pour la gestion de leurs équipements de vidéosurveillance risque de s’accroître nourri par des scandales tels que Verkada démontrant de manière très factuelle, la fragilité d’une plate-forme cloud et l’absence de possibilité d’une confiance aveugle envers les services sur le nuage…
News : Piratage de masse au sein de Verkada avec 150 000 caméras impactées | Un accès « Root » récupéré sans difficulté
L’accès root ou « super utilisateur » est le Saint Graal des accès pour le cyberattaquant qui se voit ainsi doter des privilèges complets vers l’équipement concerné. Ce « rooting » permet en gros, de bénéficier de tous les droits administrateurs et de surcroît, à des fins plus malveillantes d’apporter une possibilité d’injection de code au sein de l’équipement concerné. Dans cette attaque, les éléments laissent entendre qu’il s’agit d’un accès « Super Admin » qui aurait fuité sur la toile. Un accès exposé publiquement en tant que serveur de développement ayant ouvert les portes de l’infrastructure de Verkada ainsi qu’aux nombreux clients y étant rattachés. D’après le chercheur en sécurité « @_MG_ », l’accès a été facilité par la présence d’un super utilisateur (Root) dont les identifiants étaient codés en dur soit de manière non encrypté (écriture en clair).
« TLDR: @VerkadaHQ exposed a dev server with hard coded creds of an admin account that can access customer cams. Sounds like many employees had accounts that could do similar.
MG (@MG) – March 10, 2021 – Twitter
It’s worth reading their security marketing to compare against:
https://verkada.com/security/ »
Une véritable porte dérobée tout à fait exploitable par un interpréteur de commande en Shell. Des faits qui ne font aucun doute si l’on se réfère aux captures d’écran publié par le compte (désactivé depuis) tillie crimew (APT-69420) sur Twitter. Ce type de cyberattaque s’apparente bien aux prémices d’une attaque de type « Island Hopping » comme nous l’avions vu en août 2019 lors de notre article traitant les attaques par rebonds – Island Hopping. Une technique particulièrement affutée qui avait ciblé en premier lieu, le fournisseur de service de sécurité managé (MSSP) pour par rebonds, pouvoir accéder à l’entreprise Wipro.
« Exclusive : Multiple sources now say Indian IT outsourcing giant @Wipro is in the throes of dealing with a months-long breach in which intruders were seen using the company’s networks to attack and probe customer systems »
Brian Krebs (@briankrebs) 14 :24 – 15 avr. 2019 – Twitter
Un procédé d’attaque ou la cible première n’est pas visé directement en premier lieu, mais plutôt, un équipement pouvant présenter une faille (contrôle d’accès, commutateur réseau, routeur, équipements réseau tiers, caméra de vidéosurveillance, imprimante…) ou tout simplement, un fournisseur de service ce qui avait été le cas pour cette attaque. Cette méthodologie permet d’accéder par rebonds de la cible secondaire à la cible principale… L’attaque de Verkada aura également permis aux hackers de viser des clients raccordés bien que cela ne semblait pas être le but principal de cette attaque.
News : Piratage de masse au sein de Verkada avec 150 000 caméras impactées | Conclusion, une attaque évitable.
Pour autant, comment ce genre d’attaque finalement non ciblée et basée sur des failles en interne aussi grossières peut-elle arriver à notre époque ? Il est d’autant plus très étonnant qu’une Startup de cette envergure n’est pas plus « cadenassée » ses accès à proprement parlé, avec une politique du moindre privilège en déployant une gestion plus moderne des accès privilégiés « PAM » pour « Privileged Access Management » ou en adoptant le fameux Zero Trust ou, méfiance est légion en supposant que tous les systèmes/terminaux sont potentiellement compromis… Les grandes lignes du Zero Trust s’appuient sur une réalité ou confiance n’est guère mise au premier rang. Que ce soit en interne ou pour des services/personnes émanant de l’extérieur, le Zero Trust enterre formellement l’époque du post-it admin/1234 apposé sur l’écran d’ordinateur faisant quelque peu avancer la sécurité informatique ce qui n’est guère un luxe au vu du nombre de cyberattaques perpétré dans le monde quotidiennement. Dans l’affaire Verkada, force est de constater que l’attaque n’était pas spécialement ciblée ni motivée par quelconque rançon. Cette attaque a eu pour but de simplement souligner la facilité déconcertante à laquelle des groupes de hackers peuvent prendre le contrôle des entreprises. Cette attaque vise également à souligner en rouge la sécurité des systèmes interne d’une entreprise ou parfois, aucune politique de sécurité ne semble véritablement établie, ou peut être sur papier… Je pense qu’il faudra encore patienter de nombreuses décennies pour voir peut-être enfin arrivé, un paysage informatique à 70 % maitrisé ! D’ici là, portez vous bien 🙂
