ESET: 'Veel bedrijfsgeheimen en gegevens op tweedehands bedrijfsrouters'

Meer dan 56 procent van de core-routers die ESET kocht bij verkopers op de tweedehandsmarkt, bevatte een schat aan gevoelige data, waaronder bedrijfsreferenties, VPN-data, cryptografische sleutels en meer.

Na het bekijken van configuratiegegevens van 16 verschillende routers, ontdekte ESET dat negen routers gevoelige bedrijfsgegevens bevatten. Een overzicht:

22% klantgegevens
33% van de blootgestelde gegevens stond verbindingen van derden met het netwerk toe
44% inloggegevens om als vertrouwende partij verbinding te maken met andere netwerken
89% van de gedetailleerde verbindingsdetails was beschikbaar voor specifieke toepassingen
89% router-naar-router-authenticatiesleutels
100% een of meer IPsec- of VPN-referenties of gehashte rootwachtwoorden
100% voldoende gegevens om de vorige eigenaar of exploitant op betrouwbare wijze te identificeren.

Ondanks dat de steekproef eerder klein is, spreekt het voor zich dat de potentiële impact van deze bevindingen een wake-up call moet zijn. Cameron Camp, de onderzoeker van ESET die het project leidde. “We zouden verwachten dat middelgrote tot grote bedrijven een reeks strikte beveiligingsprocessen hebben om apparaten buiten gebruik te stellen, maar we vonden het tegenovergestelde.”

Organisaties moeten zich veel meer bewust zijn van wat er achterblijft op de toestellen die ze van de hand doen, daar de meeste toestellen die we op de tweedehandsmarkt kochten een digitale blauwdruk bevatten van het betrokken bedrijf, inclusief, maar niet beperkt tot, kernnetwerkinformatie, toepassingsgegevens, bedrijfsreferenties en informatie over partners, leveranciers en klanten.”

Onduidelijke recyclage

Organisaties recycleren verouderde technologie vaak via externe bedrijven. Deze zijn belast met het verifiëren van de veilige vernietiging of recycleren van digitale toestellen en de verwijdering van de gegevens die ze bevatten. Was het nu een fout van een e-waste-bedrijf of de eigen verwijderingsprocessen van het bedrijf, er werden gegevens gevonden op de routers, waaronder:

Gegevens van derden: zoals bij cyberaanvallen in de echte wereld, kan een inbreuk op het netwerk van een bedrijf zich verspreiden naar zijn klanten, partners en andere bedrijven waarmee het mogelijk connecties heeft.
Vertrouwde partijen: vertrouwde partijen (die nagebootst worden als een secundaire aanvalsvector) accepteren certificaten en cryptografische tokens die op deze toestellen gevonden worden, zodat een zeer overtuigende AitM-aanval (adversary in the middle) met vertrouwde inloggegevens mogelijk is die bedrijfsgeheimen kan overhevelen en slachtoffers die gedurende langere tijd niet op de hoogte zijn.
Specifieke apps: Volledige overzichten van de belangrijkste applicatieplatforms die door organisaties worden gebruikt, zowel lokaal als in de cloud gehost, waren rijkelijk verspreid over de configuraties van deze toestellen. Deze toepassingen variëren van zakelijke e-mail tot vertrouwde klanttunnels, fysieke gebouwenbeveiliging, specifieke leveranciers en typologieën voor nabijheidstoegangskaarten en specifieke netwerken van bewakingscamera’s, alsook en verkopers, verkoop- en klantplatforms, om er maar enkele te noemen. Bovendien konden ESET-onderzoekers bepalen via welke poorten en vanaf welke hosts die apps communiceren, welke ze vertrouwen en welke niet. Vanwege de granulariteit van de apps en de specifieke versies die in sommige gevallen worden gebruikt, kunnen bekende kwetsbaarheden worden misbruikt.
Uitgebreide kernrouteringsinformatie: van kernnetwerkroutes tot BGP-peering, OSPF, RIP en andere, vond ESET complete lay-outs van de interne werking van verschillende organisaties, die uitgebreide netwerktopologie-informatie zouden bieden voor latere exploitatie, mochten de toestellen in handen vallen van een tegenstander. Herstelde configuraties bevatten ook nabijgelegen en internationale locaties van veel externe kantoren en operatoren, inclusief hun relatie met het hoofdkantoor – meer gegevens die zeer waardevol kunnen zijn voor potentiële concurrenten. IPsec-tunneling kan worden gebruikt om vertrouwde routers met elkaar te verbinden, wat een onderdeel kan zijn van peering-overeenkomsten voor WAN-routers en dergelijke.
Betrouwbare operatoren: de toestellen waren geladen met mogelijk kraakbare of direct herbruikbare bedrijfsreferenties – inclusief beheerderslogins, VPN-gegevens en cryptografische sleutels – waarmee bedriegers probleemloos vertrouwde entiteiten konden worden en zo toegang via het netwerk konden krijgen.

De routers voor dit onderzoek waren afkomstig van middelgrote bedrijven tot bedrijven van wereldformaat uit diverse sectoren (datacenters, advocatenkantoren, externe technologieleveranciers, productie- en technologiebedrijven, creatieve bedrijven en softwareontwikkelaars).

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

ESET: ‘Veel bedrijfsgeheimen en gegevens op tweedehands bedrijfsrouters’

Onduidelijke recyclage

gerelateerd nieuws

nieuwsbrief