关于3月8日和9日，2021年Verkada相机黑客

CloudFlare在旧金山，奥斯汀，纽约，伦敦和新加坡的办事处使用名为Verkada的供应商。这些相机用于我们办公室的入口，出口和主要通道，并且是维护近一年已关闭的办公室安全性的一部分。

昨天，我们收到了违反Verkada的通知，允许黑客访问Verkada的内部支持工具来远程管理这些摄像机，并通过远程根壳访问它们。一旦我们收到违规通知，我们就会在所有办公地点关闭相机以防止进一步访问。

要清楚：这种黑客影响了相机，没有别的。没有访问客户数据，没有生产系统，没有数据库，没有加密密钥，没有。一些新闻报告指出我们使用Verkada提供的面部识别功能。这不是真的。我们不。

我们的内部系统遵循我们向客户提供的相同零信任模型，因此我们的公司办公室网络并非隐含地由我们的其他地点或数据中心信任。从一个安全的角度来看，来自我们的一个公司位置的连接点与来自非CloudFlare位置的连接没有什么不同。

虽然这些相机设备被违反，但重要的是要理解，本质上，每个员工都有在公司网络上的根壳。它根本不足以依靠背景检查，对网络钓鱼和其他威胁或政策进行培训而不是访问可疑网站以将恶意软件脱离网络。此事件强调CloudFlare遵循和向客户提供的零信任模型的重要性，这确保了任何一个系统或供应商受到损害，它不会危及整个组织。

例如，在推特上提出了索赔，可以访问CloudFlare首席执行官Matthew Prince的笔记本电脑。

由于几个原因，这一索赔是虚假的。首先，马修因Covid-19而不是在旧金山办事处。我们都不是。所以在公司旧金山网络上没有让你更接近他或我的机器。

其次，即使是，某种方式，攻击者也要进入他的笔记本电脑，他们仍然必须通过我们的零信任产品CloudFlare访问来播放经过每个应用程序，硬关键保护的访问控制。

另一个声称是攻击者在Cloudflare网络中有一个“根壳”。

这听起来很可怕，但我们不相信公司网络;我们使用我们的产品，如CloudFlare访问，以控制对资源的访问。攻击者可以访问公司网络内部的机器的事实并不比他们与我们的公司WiFi网络连接的访问​​权限更好。网络是＆＃39; t重要的，它的访问控制。

当然，如果我们正在使用公司网络的旧城堡和Moat风格（在公司网络上的任何人和任何人都有自然信任）的情况下，结果可能不同。

这就是为什么零信任是如此强大的原因。它允许我们在家庭上工作，因为Covid-19，这意味着进入办公室网络的攻击者没有进一步。

我们的监控和网络入侵检测系统能够捕获Verkada妥协，并究竟显示了从相机制作的网络连接。此外，Verkada能够为我们提供在我们的相机上执行的命令日志。

一些新闻故事包含其中一个摄像机上的“根壳”的图像。它显示攻击者具有执行命令，如whoami，ifconfig和curl ifconfig.me。

以下是入侵者执行的命令于3月8日（我们正在等待Verkada向我们提供，并在3月9日执行的命令，但我们的其他监控和记录工具给我们一个良好的意识，对这些命令的良好感到良好）：

2358新加坡卷曲ifconfig.me2357纽约卷发ifconfig.me2352旧金山卷曲Ifconfig.me2352旧金山Ifconfig2352旧金山何弗朗西斯科旧金山Ifconfig1451旧金山谁

这是来自摄像机的流量的日志。让我们从不寻常的DNS查询开始。这显示了来自旧金山的两个摄像机，一个在伦敦的两个摄像机和新加坡。主要是攻击者正在使用ifconfig.me找到其外部IP地址。

在旧金山，他们试图访问CloudFlare的主网站，一个不存在的管理面板（没有admin.cloudflare.com）和我用example.com替换的特定客户（黑客也尝试了admin.example。 COM）。

2021-03-09T00：01：15.373343z伦敦Ifconfig.me2021-03-09T00：01：15373343z伦敦ifconfig.me2021-03-09T00：01：153723023230232302323023023023230232302ZME2021-03-09T00：01：15371451Z伦敦ifconfig.me021-03-09t00：01：00.580199z旧金山admin.example.com2021-03-09T00：00：56.818201z旧金山admin.cloudflare.com.as13335.com2021-03-09T00：00：56.768506z旧金山admin.cloudflare.com2021-03-09T00：00：50.285755Z旧金山FF.As13335.com2021-03-09T00：00：45.014855Z旧金山example.com2021-03-09T00：00：45.011649z旧金山example.com2021- 03-09T00：00：33.418232z旧金山Cloudflare.com2021-03-08T23：59：49.677219z旧金山IFCONFIG.ME2021-03-08T23：59：49：49.677216z新加坡cloudflare.com2021-03-08T23：59：27.25919z新加坡Cloudflare.com2021-03-08T23：58：30.274265Z新加坡Ifconfig.me2021-03-08：302.274155Z新加坡ifconfig.me2021-03-08t23：52： 23.145321z旧金山Ifconfig.me

2021-03-09T00：01：15.375176Z Londonifconfig.me Get /curl/7.71.1200 OK2021-03-09T00：01：00.630747Z San Franciscoadmin.example.com Get /Curl/7.64.0301永久移动2021-03-09T00： 00：45.041609z San Franciscoexample.com Get /curl/7.64.0301永久移动2021-03-09T00：00：33.476684z San FranciscocloudFlare.com Get / Curl/7.64.0301永久移动了2021-03-08T23：59：49.708081Z San FranciscoIfConfig .me get / curl/7.64.0200 OK2021-03-08T23：58：58：58：30.289352Z SingaporeIfConfig.me Get / Curl/7.64.0200 OK2021-03-08：2313201Z San Franciscoifconfig.me Get /Curl/7.64.0200好的

我们还有完整的连接日志记录，但在空间的利益，我不会把它放在这里。

攻击者使用Verkada工具下载我们旧金山办公室大厅的两个存档录音。我们只保留30天的视频，但是当正式调查时，我们将特定视频保持一年。下载的视频日期回到2020年7月13日;我们使他们支持调查盗窃。以下是每个视频的一些剧照：

3月8日1451 - 未经授权访问Verkada Security Cameras 2352 - 未经授权的访问用于在旧金山的CloudFlare相机中运行Curl Ifconfig.me

3月9日0029 - 未经授权下载我们在旧金山的前门摄像头0033的存档视频 - 未经授权从旧金山0040的电梯摄像机下载存档的视频 - 从我们的电梯相机1750的归档视频未经授权下载由记者关于涉及摄像机2107的安全事件 - 首先提出的内部报告声称已访问我们的相机与确认我们的相机已受到影响2122 - CloudFlare禁用我们的安全摄像机2149的所有网络连接 - 文章释放了关于妥协的文章Verkada Cameras 2126 - 内部审查我们的企业网络安全控制已完成

安全