מחקר - סודות ונתונים עסקיים בנתבי יד שנייה שנקנו מחברות

23.04.23

ESET23.04.23

מחלקת המחקר של ESET חושפת מחקר חדש על התקני רשת עסקיים שיצאו משימוש ונמכרו כיד שנייה. לאחר בחינת ההגדרות של 12 התקני רשת שונים, ESET גילתה שמעל 56% (תשעה נתבים) כללו נתונים רגישים של החברה שהחזיקה בהם.

בתשע הרשתות האלה, גילינו את המידע הבא:

• ב-22% מהנתבים נמצאו נתוני לקוחות
• ב-33% מהנתבים היה מידע חשוף שאפשר חיבורים חיצוניים לרשת
• ב-44% מהנתבים נותרו שמות משתמש וסיסמאות שאפשרו להתחבר לרשתות אחרות
כגורם בטוח
• ב-89% מהנתבים אותרו פרטי התחברות לאפליקציות ספציפיות
• ב-89% מהנתבים אותרו מפתחות אימות שמאפשרים תקשורת בין הנתב לנתבים אחרים
• ב-100% מהנתבים איתרנו מפתח אחד או יותר להתחברות ל-VPN או IPsec, או סיסמאות מנהל מערכת מוצפנות
• ב-100% מהנתבים נמצא מספיק מידע כדי לזהות בוודאות את הבעלים/המפעילים הקודמים של הנתב

״ההשפעה הפוטנציאלית של הממצאים שלנו מדאיגה במיוחד וצריכה לשמש כקריאת השכמה״, מסביר קמרון קמפ, חוקר האבטחה של ESET שהוביל את הפרוייקט. ״היינו מצפים שחברות בינוניות, חברות גדולות וארגונים יפעלו לפי סט מוגדר של נהלי אבטחה לפני שנפטרים מהתקנים כאלה, אך גילינו את ההפך הגמור. ארגונים צריכים להיזהר הרבה יותר בנוגע למה שנשאר על המכשירים שיוצאים משימוש, שכן מרבית המכשירים שרכשנו בשוק המשומשים כללו טביעת רגל דיגיטלית של החברה שהחזיקה בהם, שכוללת (אך אינה מוגבלת ל-) מידע בסיסי על הרשת, נתונים על אפליקציות, שמות משתמש וסיסמאות, ומידע אודות שותפים, ספקים ולקוחות״.

במקרים רבים ארגונים ממחזרים מכשירים טכנולוגים באמצעות חברות חיצוניות שאחראיות על השמדת או מחזור הציוד הדיגיטלי ועל מחיקת הנתונים המוחזקים בציוד הזה. בין אם השגיאה נעשתה בגלל כשלים בהליך השמדת המידע של החברה העוסקת בזבל האלקטרוני או של החברה שהחזיקה בציוד מלכתחילה, היה ניתן למצוא מגוון רחב של נתונים בנתבים ביניהם:

• נתוני צד ג׳: כפי שראינו במתקפות סייבר אמיתיות, פריצה לרשת של חברה יכולה להתפשט ללקוחותיהם, שותפיהם ולעסקים
אחרים שאיתם הם נמצאים בקשר.
• גורמים אמינים: גורמים אמינים (שניתן להתחזות אליהם כווקטור התקפה משני) יאפשרו גישה לאחר קבלת תעודת אישור או
  מפתח הצפנה שנמצא במכשירים האלה, מה שיסייע לבצע מתקפות ״גורם זדוני בתווך״ Adversary in The Middle –AiTM
באמצעות האישורים שייתנו גישה לסודות החברה לפרקי זמן ארוכים מבלי שהלקוחות יהיו מודעים לכך.
• נתוני לקוחות: הצלחנו לאתר מפות שלמות של פלטפורמות האפליקציות בהם השתמשו הארגונים (גם אפליקציות מקומיות
  וגם אפליקציות ענן) שהיו מפוזרות באופן חופשי בהגדרות המכשירים האלה. בין האפליקציות האלה היה ניתן למצוא פלטפורמות
  דוא״ל עסקיות, חיבורי רשת מאובטחים המיועדים ללקוחות, התקנים הנוגעים לאבטחה פיזית של המבנה כמו חיישנים לכרטיסי
  גישה ורשתות של מצלמות אבטחה, ופלטפורמות בהם משתמשים ספקים, אנשי מכירות ולקוחות.
  בנוסף, חוקרי ESET הצליחו לקבוע באילו פורטים ומאילו נקודות גישה נוצרת תקשורת אל האפליקציות האלה, באילו גורמים הם
  בוטחים ובאילו לא. הודות למידת הפירוט של המידע על האפליקציות (שבמקרים מסוימים כלל את הגרסה הספציפית של
  האפליקציה בה השתמשו), ניתן היה לנצל פרצות ידועות בטופולוגיית הרשת ולמפות אותן לצרכיו של הגורם שמנסה לתקוף את
הרשת.
• מידע מפורט על ניתובי הליבה: החל מניתובי ליבה (Core routes) של הרשת וכלה בצימודי BGP, OSPF, RIP ואחרים,
  ESET חשפה תבניות שלמות של דרכי העבודה הפנימיות של ארגונים שונים, שיספקו מידע מקיף על הרשת ועלולים לשמש
  לאחר מכן לתקיפה – אם המכשירים האלה יגיעו לידיו של גורם זדוני. ההגדרות ששוחזרו כללו גם מידע על מיקומים רבים של
  משרדים ומרכזי פעילות במדינה ומחוץ לה, שכלל גם את הקשר ביניהם לבין המשרד הראשי – מידע נוסף שיהיה בעל ערך רב
  לתוקף פוטנציאלי. IPsec tunneling יכול לשמש כדי לחבר בין נתבים ולהיות חלק מצימוד בין נתבים וכו׳.
• מפעילים אמינים: על המכשירים מצאנו שמות משתמש וסיסמאות של החברה שאותם היה ניתן לפרוץ או להשתמש בהם כמו
  שהם – ביניהם סיסמאות למשתמשי מנהל מערכת, פרטי גישה ל-VPN ומפתחות הצפנה – שיאפשרו לגורמים זדוניים להפוך
  לגורם אמין לכאורה ללא בעיה וכך לקבל גישה לרשת כולה.

״ישנם תהליכים מוגדרים היטב לסיום עבודה תקין עם חומרה, והמחקר הזה מראה שחברות רבות לא עוקבות אחריהם בקפדנות במהלך הכנת המכשירים למכירה בשוק היד-שנייה״, אמר טוני אנסקומבי, מומחה בכיר לחדשנות בעולם אבטחת הסייבר מטעם ESET. ״ניצול של פרצה או פישינג מכוון (Spearfishing) של שמות משתמש וסיסמאות עשויים להיות עבודה קשה מאוד. אך המחקר שלנו מראה שהרבה יותר פשוט לשים את ידיך על הנתונים הנדרשים למתקפה כזאת, ויותר מכך.

אנו דוחקים בארגונים העוסקים בהיפטרות ממכשירים, בהשמדת נתונים ובמכירה מחדש של מכשירים לבחון לעומק את התהליכים שלהם ולוודא שהם עומדים בדרישות ותקנים עדכניים להשמדת נתונים״.

הנתבים בהם השתמשנו במחקר הזה הגיעו מארגונים בגדלים שונים – החל מחברות בינוניות וכלה בארגוני ענק בינלאומיים, ממגוון רחב של תעשיות (מרכזי נתונים, עורכי דין, ספקי טכנולוגיה חיצוניים, יצרנים וחברות טכנולוגיה, משרדי פרסום ומפתחי תוכנה). כחלק מתהליך המחקר, במקרים בהם הדבר התאפשר, חברת ESET העבירה את הממצאים לכל ארגון שזוהה – חלקם ארגונים מוכרים – ושיתפה איתם פעולה כדי לוודא שהם מודעים לפרטים שאולי נחשפו ע״י אחרים במהלך תהליך העברת הבעלות על המכשירים האלה. חלק מהארגונים שבהם המידע נחשף לא הגיבו כלל לניסיונות החוזרים והנשנים של ESET להתקשרות עימם באופן מעורר פליאה, בעוד שאחרים הראו מקצועיות והתייחסו לאירוע כפרצת אבטחה של ממש.

ב-ESET מבקשים להזכיר לארגונים לוודא שהם משתמשים בגורם חיצוני אמין ומהימן כדי להיפטר ממכשירים דיגיטליים, או שהם נוקטים בכל אמצעי הזהירות הנדרשים אם הם נפטרים מהמכשירים בעצמם.

התזכורת אינה נוגעת רק לנתבים ולהתקני אחסון, אלא לכל אחד ואחד מהמכשירים שנמצא ברשת. סביר להניח שרבים מהארגונים שנחשפו במחקר הזה האמינו שהם מתקשרים עם ספקים אמינים, אך למרות זאת המידע שלהם דלף. לכן, אנו ממליצים לארגונים לעקוב אחר ההוראות של יצרני רכיבי החומרה להשמדת מידע שעל מכשירים לפני שהם יוצאים מהמשרד או המפעל – צעד פשוט שצוות ה-IT יוכל להתמודד איתו ללא בעיה.

בנוסף, אנו ממליצים לארגונים להתייחס ברצינות להתרעות על חשיפת נתונים. אם לא יעשו זאת, הם עשויים להישאר חשופים לדליפת מידע יקרה שתגרור נזק משמעותי למוניטין.