ESET ontdekt bedrijfsgeheimen en gegevens op tweedehandse bedrijfsrouters
- Meer dan 56% van de core-routers die ESET kocht bij verkopers op de tweedehandsmarkt, bevatte een schat aan gevoelige data, waaronder bedrijfsreferenties, VPN-data, cryptografische sleutels en meer.
- In verkeerde handen zijn deze gegevens voldoende om een cyberaanval op te zetten die kan leiden tot een datalek, waardoor het bedrijf, zijn partners en klanten gevaar lopen.
- Uit dit onderzoek blijkt dat bedrijven onvoldoende beveiligingsprotocollen en -processen volgen voor het buiten gebruik te stellen van hardware.
- Een aantal getroffen organisaties reageerden niet op de onthullingen en mededelingen van ESET.
ESET, 1e Europese uitgever van cybersecurity-oplossingen, maakt de resultaten bekend van nieuw onderzoek naar routers van bedrijfsnetwerken die van de hand werden gedaan en verkocht op de occasiemarkt. Na het bekijken van configuratiegegevens van 16 verschillende routers, ontdekte ESET dat meer dan 56% – negen routers – gevoelige bedrijfsgegevens bevatten.
Van de 9 toestellen waarvan de volledige configuratiegegevens beschikbaar waren, hadden:
– 22% klantgegevens
– 33% van de blootgestelde gegevens stond verbindingen van derden met het netwerk toe
– 44% inloggegevens om als vertrouwende partij verbinding te maken met andere netwerken
– 89% van de gedetailleerde verbindingsdetails was beschikbaar voor specifieke toepassingen
– 89% router-naar-router-authenticatiesleutels
– 100% een of meer IPsec- of VPN-referenties of gehashte rootwachtwoorden
– 100% voldoende gegevens om de vorige eigenaar of exploitant op betrouwbare wijze te identificeren.
“De potentiële impact van onze bevindingen is bijzonder zorgwekkend en zou een wake-up call moeten zijn”, zegt Cameron Camp, de onderzoeker van ESET die het project leidde. “We zouden verwachten dat middelgrote tot grote bedrijven een reeks strikte beveiligingsprocessen hebben om apparaten buiten gebruik te stellen, maar we vonden het tegenovergestelde. Organisaties moeten zich veel meer bewust zijn van wat er achterblijft op de toestellen die ze van de hand doen, daar de meeste toestellen die we op de tweedehandsmarkt kochten een digitale blauwdruk bevatten van het betrokken bedrijf, inclusief, maar niet beperkt tot, kernnetwerkinformatie, toepassingsgegevens, bedrijfsreferenties en informatie over partners, leveranciers en klanten.”
Organisaties recycleren verouderde technologie vaak via externe bedrijven. Deze zijn belast met het verifiëren van de veilige vernietiging of recycleren van digitale toestellen en de verwijdering van de gegevens die ze bevatten. Was het nu een fout van een e-waste-bedrijf of de eigen verwijderingsprocessen van het bedrijf, er werden gegevens gevonden op de routers, waaronder:
- Gegevens van derden: zoals bij cyberaanvallen in de echte wereld, kan een inbreuk op het netwerk van een bedrijf zich verspreiden naar zijn klanten, partners en andere bedrijven waarmee het mogelijk connecties heeft.
- Vertrouwde partijen: vertrouwde partijen (die nagebootst worden als een secundaire aanvalsvector) accepteren certificaten en cryptografische tokens die op deze toestellen gevonden worden, zodat een zeer overtuigende AitM-aanval (adversary in the middle) met vertrouwde inloggegevens mogelijk is die bedrijfsgeheimen kan overhevelen en slachtoffers die gedurende langere tijd niet op de hoogte zijn.
- Specifieke apps: Volledige overzichten van de belangrijkste applicatieplatforms die door organisaties worden gebruikt, zowel lokaal als in de cloud gehost, waren rijkelijk verspreid over de configuraties van deze toestellen. Deze toepassingen variëren van zakelijke e-mail tot vertrouwde klanttunnels, fysieke gebouwenbeveiliging, specifieke leveranciers en typologieën voor nabijheidstoegangskaarten en specifieke netwerken van bewakingscamera’s, alsook en verkopers, verkoop- en klantplatforms, om er maar enkele te noemen. Bovendien konden ESET-onderzoekers bepalen via welke poorten en vanaf welke hosts die apps communiceren, welke ze vertrouwen en welke niet. Vanwege de granulariteit van de apps en de specifieke versies die in sommige gevallen worden gebruikt, kunnen bekende kwetsbaarheden worden misbruikt in de netwerktopologie die een aanvaller reeds
- Uitgebreide kernrouteringsinformatie: van kernnetwerkroutes tot BGP-peering, OSPF, RIP en andere, vond ESET complete lay-outs van de interne werking van verschillende organisaties, die uitgebreide netwerktopologie-informatie zouden bieden voor latere exploitatie, mochten de toestellen in handen vallen van een tegenstander. Herstelde configuraties bevatten ook nabijgelegen en internationale locaties van veel externe kantoren en operatoren, inclusief hun relatie met het hoofdkantoor – meer gegevens die zeer waardevol kunnen zijn voor potentiële concurrenten. IPsec-tunneling kan worden gebruikt om vertrouwde routers met elkaar te verbinden, wat een onderdeel kan zijn van peering-overeenkomsten voor WAN-routers en dergelijke.
- Betrouwbare operatoren: de toestellen waren geladen met mogelijk kraakbare of direct herbruikbare bedrijfsreferenties – inclusief beheerderslogins, VPN-gegevens en cryptografische sleutels – waarmee bedriegers probleemloos vertrouwde entiteiten konden worden en zo toegang via het netwerk konden krijgen.
“Er zijn goed gedocumenteerde processen voor de juiste ontmanteling van hardware, en dit onderzoek toont aan dat veel bedrijven deze niet strikt volgen bij het voorbereiden van toestellen voor de tweedehandsmarkt”, zegt Tony Anscombe, Chief Security Evangelist bij ESET. “Het uitbuiten van een kwetsbaarheid of spearphishing voor inloggegevens is potentieel zwaar werk. Maar ons onderzoek toont aan dat er een veel gemakkelijkere manier is om aan deze gegevens te komen. We dringen aan bij organisaties die betrokken zijn met het weghalen van toestellen, gegevensvernietiging en doorverkopen van toestellen om hun processen onder de loep te nemen en ervoor te zorgen dat ze voldoen aan de nieuwste NIST-normen voor media-opschoning.”
De routers voor dit onderzoek waren afkomstig van middelgrote bedrijven tot bedrijven van wereldformaat uit diverse sectoren (datacenters, advocatenkantoren, externe technologieleveranciers, productie- en technologiebedrijven, creatieve bedrijven en softwareontwikkelaars). Als onderdeel van het ontdekkingsproces heeft ESET, waar mogelijk, de bevindingen bekendgemaakt aan elke geïdentificeerde organisatie – enkele met bekende namen – zodat ze op de hoogte waren van de details die mogelijk gecompromitteerd zijn door anderen in de opruimingsketen. Sommige organisaties waarvan de informatie gecompromitteerd was, reageerden echter niet op de herhaalde pogingen van ESET om in te loggen, terwijl andere blijk gaven van bekwaamheid en de gebeurtenis als een inbreuk op de beveiliging beschouwden.
Organisaties werden eraan herinnerd om te controleren of ze gebruik maken van een bevoegde, vertrouwde derde partij om de toestellen te verwijderen, of ze de nodige voorzorgsmaatregelen nemen als ze de ontmanteling zelf beheren. Dit zou meer moeten zijn dan routers en harde schijven met inbegrip van elk toestel dat deel uitmaakt van het netwerk. Veel van de organisaties die aan dit onderzoek deelnamen, dachten waarschijnlijk dat ze een contract hadden met gekende leveranciers, maar hun gegevens waren toch gelekt. Daarom wordt aanbevolen dat organisaties de richtlijnen van de fabrikant volgen om alle gegevens van een toestel te verwijderen voordat het daadwerkelijk hun gebouwen verlaat. Voor veel IT-medewerkers is het slechts een simpele stap.
Organisaties worden eraan herinnerd meldingen van openbaarmaking ernstig op te nemen. Anders lopen ze het risico’s voor een dure datalek en aanzienlijke reputatieschade.
Camp en Anscombe zullen dit onderzoek “We (could have) cracked open the network for less than $100″, op RSA 2023 presenteren op 24 april 2023 om 9.40 uur PT.
Lees het witboek met de resultaten van het onderzoek over het verwijderen van toestellen op
