- Viac ako 56 % routerov, ktoré spoločnosť ESET zakúpila od predajcov z druhej ruky, obsahovalo citlivé údaje vrátane firemných prihlasovacích údajov, podrobností o VPN či kryptografických kľúčov.
- V nesprávnych rukách tieto dáta stačia na spustenie kybernetického útoku, ktorý by mohol viesť k úniku údajov a ohroziť spoločnosť, jej partnerov a zákazníkov.
- Z nášho výskumu vyplýva, že spoločnosti dostatočne nedodržiavajú bezpečnostné protokoly a postupy pri vyraďovaní hardvéru.
- Viaceré dotknuté organizácie nereagovali na zverejnené informácie a komunikáciu spoločnosti ESET.
Spoločnosť ESET predstavila nový výskum týkajúci sa firemných sieťových zariadení, ktoré organizácie prestali používať a predali ich. Po preskúmaní konfiguračných dát zo 16 rôznych sieťových zariadení spoločnosť ESET zistila, že viac ako 56 %, teda deväť routerov, obsahovalo citlivé firemné údaje. Výskum sa zameral na najpoužívanejšie routere na americkom trhu.
Z deviatich sietí, pre ktoré boli dostupné kompletné dáta o konfigurácii:
- 22 % obsahovalo údaje o zákazníkoch,
- 33 % odhaľovalo údaje umožňujúce pripojenie tretích strán k sieti,
- 44 % zahŕňalo prihlasovacie údaje na pripojenie k iným sieťam ako dôveryhodná strana,
- 89 % uvádzalo podrobnosti o pripojení pre konkrétne aplikácie,
- 89 % obsahovalo autentifikačné kľúče medzi routrami,
- 100 % obsahovalo jedno alebo viacero poverení pre protokol IPsec/VPN či hashované koreňové heslá,
- 100 % zahŕňalo dostatok údajov na spoľahlivú identifikáciu bývalého vlastníka/prevádzkovateľa.
„Potenciálny dopad našich zistení je mimoriadne znepokojujúci a mal by slúžiť ako varovný signál,“ povedal Cameron Camp, bezpečnostný výskumník spoločnosti ESET, ktorý projekt viedol. „Očakávali by sme, že stredne veľké a veľké firmy budú mať vypracovaný dôkladný súbor bezpečnostných iniciatív na vyraďovanie zariadení, ale zistili sme opak. Organizácie si musia dôkladnejšie všímať, čo zostáva v zariadeniach, ktoré vyraďujú z prevádzky, pretože väčšina zariadení, ktoré sme získali na sekundárnom trhu, obsahovala digitálny plán príslušnej spoločnosti, a to aj vrátane základných sieťových informácií, údajov o aplikáciách, firemných prihlasovacích údajov a informácií o partneroch, dodávateľoch a zákazníkoch.“
Organizácie často recyklujú starnúcu techniku prostredníctvom spoločností tretích strán, ktoré majú na starosti overovanie bezpečnej likvidácie alebo recyklácie digitálneho zariadenia, ako aj obsiahnutých údajov. Či už išlo o chybu spoločnosti zaoberajúcej sa likvidáciou elektronického odpadu, alebo o interné pochybenie samotných organizácií, na routeroch sa našiel celý rad údajov, ako napríklad:
- Údaje tretích strán: Ako sme videli v prípadoch reálnych kybernetických útokov, narušenie siete spoločnosti môže mať dopad aj na jej zákazníkov, partnerov a ďalšie podniky, s ktorými má prepojenia.
- Dôveryhodné strany: Dôveryhodné strany (za ktoré by sa mohli vydávať sekundárne vektory útoku) by akceptovali certifikáty a kryptografické tokeny nachádzajúce sa v týchto zariadeniach, čo by viedlo k veľmi presvedčivému útoku typu „adversary in the middle“ (AitM) pomocou dôveryhodných prihlasovacích údajov. Došlo by tak k odčerpávaniu firemných tajomstiev, o čom by obete dlhší čas ani nevedeli.
- Údaje o zákazníkoch: V niektorých prípadoch routery smerujú na interné alebo externé úložiská informácií so špecifickými dátami o zákazníkoch ich vlastníkov, niekedy uloženými na lokálnom hardvéri, čo môže zákazníkov vystaviť potenciálnym bezpečnostným problémom, ak sa útočníkovi podarí získať o nich konkrétne údaje.
- Konkrétne aplikácie: V rámci konfigurácií týchto zariadení boli voľne dostupné kompletné mapy hlavných platforiem aplikácií používaných konkrétnymi organizáciami, a to ako lokálne hosťovaných, tak aj v cloude. Tieto aplikácie zahŕňali všetko od firemných e-mailov až po dôveryhodné klientske tunely pre zákazníkov, fyzické zabezpečenie budov, ako sú napríklad konkrétni dodávatelia a topológie pre bezkontaktné prístupové karty a špecifické siete bezpečnostných kamier, ako aj platformy pre dodávateľov, predajcov a zákazníkov. Výskumníci spoločnosti ESET navyše dokázali určiť, cez ktoré porty a z ktorých hostiteľov tieto aplikácie komunikujú, ktorým z nich dôverujú a ktorým nie. Vzhľadom na granularitu aplikácií a špecifické verzie, ktoré sa v niektorých prípadoch používajú, by mohlo dôjsť k zneužitiu známych zraniteľností naprieč topológiou siete, ktorú by útočník už mal zmapovanú.
- Rozsiahle informácie o základnom routovaní: Spoločnosť ESET našla kompletnú schému vnútorného fungovania rôznych organizácií, od sieťových trás až po peering protokolu BGP, protokoly OSPF, RIP a podobne, ktoré by poskytli rozsiahle informácie o topológii siete na následné zneužitie, ak by sa zariadenia dostali do nesprávnych rúk. Objavené konfigurácie obsahovali aj blízke a medzinárodné polohy mnohých vzdialených pobočiek a prevádzkovateľov vrátane ich vzťahu k centrálnej pobočke. Ide tak o ďalšie údaje, ktoré by boli pre potenciálnych útočníkov veľmi cenné. Tunelový režim protokolu IPsec možno použiť na vzájomné prepojenie dôveryhodných routerov, čo môže byť súčasťou peeringovej dohody týkajúcej sa routerov WAN a podobne.
- Dôveryhodní prevádzkovatelia: Zariadenia obsahovali potenciálne prelomiteľné alebo priamo opakovane použiteľné firemné prihlasovacie údaje vrátane prihlasovacích údajov správcu, podrobností o VPN a kryptografických kľúčoch, ktoré by útočníkom jednoducho umožnili vydávať sa za dôveryhodné subjekty a získať tak prístup do siete.
„Na správne vyraďovanie hardvéru existujú prepracované procesy a tento výskum ukazuje, že mnohé spoločnosti ich pri príprave zariadení na sekundárny trh s hardvérom dôsledne nedodržiavajú,“ povedal Tony Anscombe, špecialista na digitálnu bezpečnosť spoločnosti ESET. „Zneužitie zraniteľnosti alebo spearphishing na získanie prihlasovacích údajov je potenciálne náročná práca. Náš výskum však ukázal, že existuje oveľa jednoduchší spôsob, ako sa k týmto údajom dostať, a nielen to. Vyzývame organizácie, ktoré sa zaoberajú likvidáciou zariadení, ničením údajov a ďalším predajom zariadení, aby dôkladne prekontrolovali používané procesy a zaistili tak súlad s najnovšími normami pre sanitáciu médií.“
Routery v tomto prieskume sa používali v rôznych organizáciách od stredne veľkých podnikov až po globálne spoločnosti z rôznych odvetví (dátové centrá, advokátske kancelárie, externí poskytovatelia technológií, výrobné a technologické spoločnosti, kreatívne firmy a vývojári softvéru). V rámci výskumu sa spoločnosť ESET podľa možností podelila o svoje zistenia so všetkými identifikovanými organizáciami, z ktorých viaceré sú skutočne známe, s cieľom uistiť sa, že sú oboznámené s potenciálnym ohrozením údajov inou stranou v reťazci narábania so zariadeniami.
Detaily o výskume nájdete na stránke WeLiveSecurity.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.