- Meer dan 56% van de core routers die ESET kocht van tweedehandsverkopers bevatten een schat aan gevoelige data, waaronder bedrijfsgegevens, VPN-gegevens, encryptiesleutels en meer.
- In de verkeerde handen kunnen deze gegevens het startschot geven voor een cyberaanval die kan leiden tot een datalek, waardoor het bedrijf, zijn partners en klanten gevaar lopen.
- Uit onderzoek van ESET blijkt dat bedrijven onvoldoende beveiligingsprotocollen en -processen volgen voor het buiten gebruik stellen van hardware.
- Een aantal getroffen organisaties heeft niet gereageerd op de onthullingen en mededelingen van ESET.
Sliedrecht, 19 april 2023 – ESET, een wereldwijde leider in digital security, onthulde vandaag een nieuw onderzoek naar bedrijfsnetwerkapparatuur die werd vervangen en verkocht op de tweedehandsmarkt. Na het bekijken van configuratiegegevens van 16 verschillende netwerkapparaten, ontdekte ESET dat meer dan 56% - negen routers -gevoelige bedrijfsgegevens bevatten.
Van de negen netwerken die volledige configuratiegegevens beschikbaar hadden:
- bevatte 22% klantgegevens;
- bevatte 33% gegevens die verbindingen van derden met het netwerk mogelijk maakten;
- had 44% referenties om als vertrouwde partij verbinding te maken met andere netwerken;
- waren in 89% van de gevallen de verbindingsgegevens voor specifieke toepassingen gespecificeerd;
- bevatte 89% router-naar-router verificatiesleutels;
- bevatte 100% een of meer IPsec- of VPN-referenties, of gehashte root-wachtwoorden;
- bevatte 100% voldoende gegevens om de voormalige eigenaar/gebruiker met zekerheid te kunnen identificeren.
"De potentiële impact van onze bevindingen is uiterst verontrustend en zou een wake-up call moeten zijn," aldus Cameron Camp, de ESET-onderzoeker die het project leidde. "We zouden verwachten dat middelgrote tot enterprise bedrijven een strikte set aan beveiligingsinitiatieven hebben om apparaten buiten gebruik te stellen, maar we zagen het tegenovergestelde. Organisaties zouden zich veel bewuster moeten zijn van wat er overblijft op de apparaten die ze buiten gebruik stellen. Een meerderheid van de apparaten die we tweedehands verkregen bevatte namelijk een digitale blauwdruk van het betrokken bedrijf. Dit was inclusief, maar niet beperkt tot essentiële netwerkinformatie, applicatiegegevens, bedrijfsgegevens en informatie over partners, verkopers en klanten."
Organisaties recyclen verouderde technologie vaak via externe bedrijven, die belast zijn met het controleren van de veilige vernietiging of recycling van digitale apparatuur en de verwijdering van de gegevens daarin. Ongeacht of het een fout van een e-waste afvalverwerkingsedrijf betreft of de eigen verwijderingprocedures van het bedrijf, werden diverse gegevens op de routers aangetroffen, waaronder:
- Trusted parties: Trusted parties (die zich kunnen voordoen als een secundaire aanvalsvector) zouden certificaten en encryptietokens op deze apparaten accepteren, waardoor een zeer overtuigende aanvaller in the middle (AitM)-aanval met betrouwbare inloggegevens mogelijk is, waarmee bedrijfsgeheimen kunnen worden weggesluisd, zonder dat de slachtoffers daarvan gedurende langere tijd op de hoogte zijn.
- Klantgegevens: In sommige gevallen verwijzen core couters naar interne en/of externe gegevensbanken met specifieke informatie over de klanten van hun eigenaars. Deze zijn soms ter plaatse opgeslagen, waardoor klanten blootgesteld kunnen worden aan potentiële veiligheidsproblemen, als een indringer in staat is specifieke informatie over hen te verkrijgen.
- Specifieke applicaties: Volledige overzichten van belangrijke applicatieplatforms die door specifieke organisaties worden gebruikt, zowel lokaal als in de cloud, bleken rijkelijk verspreid over de configuraties van de routers. De toepassingen variëren van zakelijke e-mail tot aan vertrouwde clienttunnels voor klanten, beveiliging van fysieke gebouwen zoals specifieke leveranciers en topologieën voor bepaaldetoegangssystemen en specifieke bewakingscameranetwerken, en leveranciers-, verkoop- en klantenplatforms, om er een paar te noemen.
Bovendien konden de ESET-onderzoekers bepalen over welke poorten en vanaf welke hosts die toepassingen communiceren, welke ze vertrouwen en welke niet. Door de gedetailleerdheid van de toepassingen en de specifieke versies die in sommige gevallen werden gebruikt, konden bekende kwetsbaarheden worden uitgebuit in de hele netwerktopologie, die een aanvaller al in kaart zou hebben gebracht.
- Uitgebreide routinginformatie over het kernnetwerk: Van kernnetwerk routes tot BGP-peering, OSPF, RIP en andere informatie, ESET vond complete lay-outs van de interne werking van verschillende organisaties, die uitgebreide netwerktopologie-informatie zouden bieden voor latere exploitatie, mochten de apparaten in de handen van een aanvaller vallen.
Teruggevonden configuraties bevatten ook nabije en internationale locaties van veel externe kantoren en operators, inclusief hun relatie tot het hoofdkantoor - meer gegevens die zeer waardevol zouden zijn voor potentiële tegenstanders. IPsec-tunneling kan worden gebruikt om vertrouwde routers met elkaar te verbinden, wat onder andere een onderdeel kan zijn van WAN-router peering regelingen.
- Vertrouwde operators: De apparaten waren geladen met mogelijk te kraken of direct herbruikbare bedrijfsinloggegevens - waaronder beheerderslogins, VPN-gegevens en encryptiesleutels - die kwaadwillenden in staat zouden stellen naadloos vertrouwde entiteiten aan te nemen en zo toegang te krijgen tot het netwerk.
"Er zijn goed gedocumenteerde processen en richtlijnen voor de juiste ontmanteling van hardware. Dit onderzoek toont aan dat veel bedrijven deze niet strikt volgen bij het voorbereiden van apparaten voor de tweedehands hardware markt," zegt Tony Anscombe, Chief Security Evangelist bij ESET. "Het misbruiken van een kwetsbaarheid of spearphishing voor credentials is potentieel hard werken. Maar ons onderzoek toont aan dat er een veel eenvoudigere manier is om deze gegevens in handen te krijgen, en meer. We dringen er bij organisaties die betrokken zijn bij het verwijderen van apparaten, het vernietigen van gegevens en het doorverkopen van apparaten op aan om hun processen onder de loep te nemen en ervoor te zorgen dat ze voldoen aan de nieuwste NIST-normen voor het opschonen van media."
De routers in dit onderzoek zijn afkomstig van organisaties variërend van middelgrote bedrijven tot wereldwijde concerns in verschillende sectoren (datacenters, advocatenkantoren, third-party tech providers, productie- en techbedrijven, creatieve bedrijven en softwareontwikkelaars). Als onderdeel van het ontdekkingsproces maakte ESET, waar mogelijk, de bevindingen bekend aan elke geïdentificeerde organisatie, waaronder een aantal bekende namen. Dit werd gedaan om ervoor te zorgen dat zij zich bewust waren van de details die mogelijk gecompromitteerd waren door anderen in de chain of custody van de apparaten. Sommige van de organisaties met gecompromitteerde informatie reageerden, verbazingwekkend genoeg, niet op de herhaalde pogingen van ESET om contact op te nemen, terwijl andere organisaties blijk gaven van bekwaamheid en de gebeurtenis afhandelden als een regelrechte beveiligingsinbreuk.
Organisaties worden eraan herinnerd om te controleren of ze een vertrouwde en competente externe partij gebruiken om apparaten te verwijderen, of dat ze alle noodzakelijke voorzorgsmaatregelen nemen als ze de buitengebruikstelling zelf uitvoeren. Dat geldt niet alleen voor routers en harde schijven, maar voor elk apparaat dat deel uitmaakt van het netwerk. Veel organisaties in dit onderzoek dachten waarschijnlijk dat zij contracten hadden gesloten met gerenommeerde leveranciers, maar toch lekten hun gegevens uit. Met dit in gedachten, is het raadzaam dat organisaties de richtlijnen van de fabrikant opvolgen voor het verwijderen van alle gegevens van een apparaat, voordat het fysiek het pand verlaat. Dit is een eenvoudige stap, die veel van het IT-personeel aankan.
Organisaties worden eraan herinnerd dat zij meldingen van openbaarmaking serieus moeten behandelen. Doen ze dat niet, dan kunnen ze kwetsbaar worden voor een kostbare inbreuk op hun gegevens en aanzienlijke reputatieschade oplopen.
Tijdens RSA 2023 zullen Camp en Anscombe dit onderzoek presenteren tijdens de presentatie "We (Could Have) Cracked Open the Network for Under $100" op 24 april 2023 om 9:40 a.m. PT.
Om de whitepaper te lezen, die ook bronnen bevat over het veilig verwijderen van apparaten, gaat u naar WeLiveSecurity.com.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor het leveren van uitgebreide, meerlaagse bescherming tegen cyberdreigingen voor bedrijven, kritieke infrastructuur en consumenten wereldwijd. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET is sinds haar oprichting pionier op het gebied van machine learning en cloud technologieën die malware voorkomen, detecteren en erop reageren. ESET is een particulier bedrijf dat wereldwijd wetenschappelijk onderzoek & ontwikkeling bevordert. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.