Meer dan 56 procent van de core-routers die ESET kocht bij verkopers op de tweedehandsmarkt, bevatte een schat aan gevoelige data, waaronder bedrijfsreferenties, VPN-data, cryptografische sleutels en meer.
Na het bekijken van configuratiegegevens van 16 verschillende routers, ontdekte ESET dat negen routers gevoelige bedrijfsgegevens bevatten. Een overzicht:
- 22% klantgegevens
- 33% van de blootgestelde gegevens stond verbindingen van derden met het netwerk toe
- 44% inloggegevens om als vertrouwende partij verbinding te maken met andere netwerken
- 89% van de gedetailleerde verbindingsdetails was beschikbaar voor specifieke toepassingen
- 89% router-naar-router-authenticatiesleutels
- 100% een of meer IPsec- of VPN-referenties of gehashte rootwachtwoorden
- 100% voldoende gegevens om de vorige eigenaar of exploitant op betrouwbare wijze te identificeren.
Ondanks dat de steekproef eerder klein is, spreekt het voor zich dat de potentiële impact van deze bevindingen een wake-up call moet zijn. Cameron Camp, de onderzoeker van ESET die het project leidde. “We zouden verwachten dat middelgrote tot grote bedrijven een reeks strikte beveiligingsprocessen hebben om apparaten buiten gebruik te stellen, maar we vonden het tegenovergestelde.”
Organisaties moeten zich veel meer bewust zijn van wat er achterblijft op de toestellen die ze van de hand doen, daar de meeste toestellen die we op de tweedehandsmarkt kochten een digitale blauwdruk bevatten van het betrokken bedrijf, inclusief, maar niet beperkt tot, kernnetwerkinformatie, toepassingsgegevens, bedrijfsreferenties en informatie over partners, leveranciers en klanten.”
Onduidelijke recyclage
Organisaties recycleren verouderde technologie vaak via externe bedrijven. Deze zijn belast met het verifiëren van de veilige vernietiging of recycleren van digitale toestellen en de verwijdering van de gegevens die ze bevatten. Was het nu een fout van een e-waste-bedrijf of de eigen verwijderingsprocessen van het bedrijf, er werden gegevens gevonden op de routers, waaronder:
- Gegevens van derden: zoals bij cyberaanvallen in de echte wereld, kan een inbreuk op het netwerk van een bedrijf zich verspreiden naar zijn klanten, partners en andere bedrijven waarmee het mogelijk connecties heeft.
- Vertrouwde partijen: vertrouwde partijen (die nagebootst worden als een secundaire aanvalsvector) accepteren certificaten en cryptografische tokens die op deze toestellen gevonden worden, zodat een zeer overtuigende AitM-aanval (adversary in the middle) met vertrouwde inloggegevens mogelijk is die bedrijfsgeheimen kan overhevelen en slachtoffers die gedurende langere tijd niet op de hoogte zijn.
- Specifieke apps: Volledige overzichten van de belangrijkste applicatieplatforms die door organisaties worden gebruikt, zowel lokaal als in de cloud gehost, waren rijkelijk verspreid over de configuraties van deze toestellen. Deze toepassingen variëren van zakelijke e-mail tot vertrouwde klanttunnels, fysieke gebouwenbeveiliging, specifieke leveranciers en typologieën voor nabijheidstoegangskaarten en specifieke netwerken van bewakingscamera’s, alsook en verkopers, verkoop- en klantplatforms, om er maar enkele te noemen. Bovendien konden ESET-onderzoekers bepalen via welke poorten en vanaf welke hosts die apps communiceren, welke ze vertrouwen en welke niet. Vanwege de granulariteit van de apps en de specifieke versies die in sommige gevallen worden gebruikt, kunnen bekende kwetsbaarheden worden misbruikt.
- Uitgebreide kernrouteringsinformatie: van kernnetwerkroutes tot BGP-peering, OSPF, RIP en andere, vond ESET complete lay-outs van de interne werking van verschillende organisaties, die uitgebreide netwerktopologie-informatie zouden bieden voor latere exploitatie, mochten de toestellen in handen vallen van een tegenstander. Herstelde configuraties bevatten ook nabijgelegen en internationale locaties van veel externe kantoren en operatoren, inclusief hun relatie met het hoofdkantoor – meer gegevens die zeer waardevol kunnen zijn voor potentiële concurrenten. IPsec-tunneling kan worden gebruikt om vertrouwde routers met elkaar te verbinden, wat een onderdeel kan zijn van peering-overeenkomsten voor WAN-routers en dergelijke.
- Betrouwbare operatoren: de toestellen waren geladen met mogelijk kraakbare of direct herbruikbare bedrijfsreferenties – inclusief beheerderslogins, VPN-gegevens en cryptografische sleutels – waarmee bedriegers probleemloos vertrouwde entiteiten konden worden en zo toegang via het netwerk konden krijgen.
De routers voor dit onderzoek waren afkomstig van middelgrote bedrijven tot bedrijven van wereldformaat uit diverse sectoren (datacenters, advocatenkantoren, externe technologieleveranciers, productie- en technologiebedrijven, creatieve bedrijven en softwareontwikkelaars).