Routers die via de tweedehands markt te koop zijn bevatten gevoelige gegevens, waarmee kwaadwillenden de bedrijven die eigenaar waren kunnen aanvallen. Dat blijkt uit een onderzoek van beveiligingsbedrijf ESET.
ESET deed onderzoek naar bedrijfsnetwerkapparatuur die werd vervangen en verkocht op de tweedehandsmarkt. Na het bekijken van configuratiegegevens van 16 verschillende netwerkapparaten, ontdekte ESET dat meer dan 56% – negen routers – gevoelige bedrijfsgegevens bevatten. Het ging daarbij onder meer om klantgegevens (22%), gegevens waarmee verbinding gemaakt kon worden (33%) en verbindingsgegevens voor specifieke toepassingen. Opvallend was dat de negen routers IPsec- of VPN-referenties of gehashte rootwachtwoorden bevatten, en dat bij al deze routers zonder moeite kon worden vastgesteld wie de vorige eigenaar was.
Volgens ESET recyclen organisaties verouderde technologie vaak via externe bedrijven, die belast zijn met het controleren van de veilige vernietiging of recycling van digitale apparatuur en de verwijdering van de gegevens daarin. Ongeacht of het een fout van een e-waste afvalverwerkingsedrijf betreft of de eigen verwijderingprocedures van het bedrijf, werden de gegevens op de routers aangetroffen.
Aanvaller in the Middle
Bij het buitmaken van gegevens van derden kan een inbreuk op het netwerk van één bedrijf zich verspreiden naar hun klanten, partners en andere bedrijven waarmee ze mogelijk connecties hebben. Trusted parties (die zich kunnen voordoen als een secundaire aanvalsvector) kunnen certificaten en encryptietokens op deze apparaten kunnen accepteren, waardoor een zeer overtuigende aanvaller in the middle (AitM)-aanval met betrouwbare inloggegevens mogelijk is.
In sommige gevallen verwijzen core couters naar interne en/of externe gegevensbanken met specifieke informatie over de klanten van hun eigenaars. Deze zijn soms ter plaatse opgeslagen, waardoor klanten blootgesteld kunnen worden aan potentiële veiligheidsproblemen, als een indringer in staat is specifieke informatie over hen te verkrijgen. Informatie over specifieke applicaties, zowel lokaal als in de cloud, bleken rijkelijk verspreid over de configuraties van de routers. De toepassingen variëren van zakelijke e-mail tot aan vertrouwde clienttunnels voor klanten, beveiliging van fysieke gebouwen zoals specifieke leveranciers en topologieën voor bepaaldetoegangssystemen en specifieke bewakingscameranetwerken, en leveranciers-, verkoop- en klantenplatforms.
Routeringsinformatie
Bovendien konden de ESET-onderzoekers bepalen over welke poorten en vanaf welke hosts die toepassingen communiceren, welke ze vertrouwen en welke niet. Door de gedetailleerdheid van de toepassingen en de specifieke versies die in sommige gevallen werden gebruikt, konden bekende kwetsbaarheden worden uitgebuit in de hele netwerktopologie, die een aanvaller al in kaart zou hebben gebracht. Verder was er vaak uitgebreide routinginformatie over het kernnetwerk aanwezig. Van kernnetwerk routes tot BGP-peering, OSPF, RIP en andere informatie, ESET vond complete lay-outs van de interne werking van verschillende organisaties, die uitgebreide netwerktopologie-informatie zouden bieden voor latere exploitatie, mochten de apparaten in de handen van een aanvaller vallen.
Teruggevonden configuraties bevatten ook nabije en internationale locaties van veel externe kantoren en operators, inclusief hun relatie tot het hoofdkantoor – meer gegevens die zeer waardevol zouden zijn voor potentiële tegenstanders. IPsec-tunneling kan worden gebruikt om vertrouwde routers met elkaar te verbinden, wat onder andere een onderdeel kan zijn van WAN-router peering regelingen. De apparaten waren geladen met mogelijk te kraken of direct herbruikbare bedrijfsinloggegevens – waaronder beheerderslogins, VPN-gegevens en encryptiesleutels – die kwaadwillenden in staat kunnen stellen naadloos vertrouwde entiteiten aan te nemen en zo toegang te krijgen tot het netwerk.
Soms geen reactie
De routers in dit onderzoek waren afkomstig van organisaties variërend van middelgrote bedrijven tot wereldwijde concerns in verschillende sectoren (datacenters, advocatenkantoren, third-party tech providers, productie- en techbedrijven, creatieve bedrijven en softwareontwikkelaars). Na het onderzoek maakte ESET, waar mogelijk, de bevindingen bekend aan elke geïdentificeerde organisatie, waaronder een aantal bekende namen. Dit werd gedaan om ervoor te zorgen dat zij zich bewust waren van de details die mogelijk gecompromitteerd waren. Sommige van de organisaties met gecompromitteerde informatie reageerden, verbazingwekkend genoeg, niet op de herhaalde pogingen om contact op te nemen, zegt ESET.
