Gepensioneerde bedrijfsrouters – en de gevoelige gegevens die er nog op staan – duiken op in de markt voor gebruikte apparatuur, waar aanvallers ze kunnen uitbuiten op zoek naar kwetsbaarheden.
Dit is het slechte nieuws: het is gemakkelijk om gebruikte bedrijfsrouters te kopen die zijn afgedankt en die nog steeds gegevens bevatten over de organisaties waarmee ze ooit waren verbonden, waaronder IPsec-gegevens, toepassingslijsten en cryptografische sleutels.
“Hierdoor blijven kritieke en gevoelige configuratiegegevens van de oorspronkelijke eigenaar of exploitant toegankelijk voor de koper en open voor misbruik,” aldus een whitepaper van Cameron Camp, beveiligingsonderzoeker, en Tony Anscombe, chief security evangelist, voor beveiligingsbedrijf Eset.
Het duo kocht 18 gebruikte routers en verzamelde daaruit beheerderswachtwoorden, kaarten van specifieke toepassingen, gegevens waarmee derden toegang konden krijgen tot de netwerken van andere ondernemingen en genoeg informatie om de ondernemingen te identificeren die ze ooit gebruikten.
De routers – vier Cisco ASA 5500 Series, drie Fortinet Fortigate Series en 11 Juniper Networks SRX Series Service Gateways – werden allemaal legaal gekocht via verkopers van gebruikte apparatuur, aldus het artikel. “Er werden geen procedures of instrumenten van voornamelijk forensische aard of voor het herstellen van gegevens gebruikt, noch technieken die het openen van de behuizing van de routers vereisten,” maar de onderzoekers zeiden dat ze in staat waren gegevens te herstellen die “een schatkamer zouden zijn voor een potentiële tegenstander voor zowel technische als social-engineering aanvallen”.
Meer dan één router was geïnstalleerd in een bedrijfsnetwerk door beheerde IT-providers en vervolgens verwijderd en doorverkocht met de gegevens er nog op, “dus vaak hebben de getroffen organisaties geen idee dat ze nu kwetsbaar zijn voor aanvallen als gevolg van het lekken van gegevens door een derde partij”.
De onderzoekers wezen op punten waarop bedrijven voorzichtig moeten zijn om te voorkomen dat gebruikte routers gegevens lekken naar wie ze koopt.
Ten eerste raden zij aan de apparaten schoon te maken met behulp van door de verkopers opgestelde schoonmaakinstructies. “De ironie is dat deze apparaten doorgaans vrij eenvoudig te wissen zijn, vaak met slechts een of twee opdrachten,” schreven Camp en Anscombe. “Sommige apparaten slaan echter historische configuraties op die mogelijk nog toegankelijk zijn, dus u moet zorgvuldig controleren of er echt niets van uw informatie op deze apparaten staat.”
Dat kan op sommige apparaten worden bereikt door interne harde schijven, CompactFlash of andere verwijderbare media te verwijderen en deze te analyseren met forensische instrumenten om te zien of gevoelige gegevens toegankelijk zijn gebleven.
Pas vervolgens op wanneer derden in de beveiligingsketen zitten. Een onderneming kan een vertrouwde managed service provider met een goede reputatie inhuren, maar die provider kan andere leveranciers van onbekende betrouwbaarheid inhuren om apparaten te installeren en te onderhouden en, wat belangrijk is, ze uit bedrijf te nemen. “De les hier zou kunnen zijn dat zelfs als je je best doet, het vertrouwen op derden om te presteren zoals verwacht een proces is dat verre van perfect is”, aldus het onderzoek.
Lees het hele verhaal op https://www.welivesecurity.com/wp-content/uploads/2023/04/used_routers_corporate_secrets.pdf
