Eset descobre segredos corporativos e dados em roteadores reciclados

A Eset, provedora global de segurança digital, divulgou uma nova pesquisa sobre dispositivos de rede corporativa que foram descartados e vendidos no mercado secundário. Depois de analisar os dados de configuração de 16 dispositivos de rede distintos, a Eset descobriu que mais de 56% – nove roteadores – continham dados confidenciais da empresa.

Das redes que tinham dados de configuração completos disponíveis:

– 22% continham dados de clientes.

– 33% de dados expostos, permitindo conexões de terceiros à rede.

– 44% tinham credenciais para se conectar a outras redes como parte confiável.

– 89% de detalhes de conexão detalhados para aplicações específicas.

– 89% continham chaves de autenticação de roteador para roteador.

– 100% continham uma ou mais credenciais IPsec ou VPN ou senhas de root com hash.

– 100% tinham dados suficientes para identificar com segurança o antigo proprietário/operador.

“O impacto potencial de nossas descobertas é extremamente preocupante e deve ser um alerta”, disse Cameron Camp, pesquisador de Segurança da Eset. que liderou o projeto. “Esperávamos que empresas de médio a grande porte tivessem um conjunto estrito de iniciativas de segurança para desativação de dispositivos, mas descobrimos o oposto – dos dispositivos que obtivemos do mercado secundário, muitos continham informações básicas de rede, dados de aplicativos, credenciais corporativas e informações sobre parceiros, fornecedores e clientes”, informpu.

As organizações geralmente reciclam tecnologias antigas por meio de empresas terceirizadas encarregadas de verificar a destruição ou reciclagem segura de equipamentos digitais e o descarte dos dados nele contidos. Seja um erro de uma empresa de lixo eletrônico ou dos próprios processos de descarte da empresa, uma série de dados foi encontrada nos roteadores, incluindo:

Dados de terceiros: como vimos em ataques cibernéticos do mundo real, uma violação da rede de uma empresa pode se espalhar para seus clientes, parceiros e outras empresas com as quais eles podem ter conexões.

Partes confiáveis: partes confiáveis ​​(que podem ser representadas como um vetor de ataque secundário) aceitariam certificados e tokens criptográficos encontrados nesses dispositivos, permitindo um ataque de adversário no meio (AitM) muito convincente com credenciais confiáveis, capaz de desviar segredos corporativos, com as vítimas inconscientes por longos períodos.

Dados do cliente: em alguns casos, os roteadores principais apontam para armazenamentos de informações internos e/ou externos com informações específicas sobre os clientes de seus proprietários, às vezes armazenados no local, o que pode expor os clientes a possíveis problemas de segurança se um adversário conseguir obter informações específicas sobre eles.

Aplicações específicas: mapas completos das principais plataformas de aplicativos usadas por organizações específicas, tanto localmente quanto na Nuvem, foram espalhados livremente pelas configurações desses dispositivos. Esses aplicativos variam de e-mail corporativo a túneis de clientes confiáveis ​​para clientes, segurança de prédios físicos, como fornecedores e topologias específicos para cartões de acesso por proximidade e redes de câmeras de vigilância específicas, além de fornecedores, vendas e plataformas de clientes, para mencionar alguns. Além disso, os pesquisadores da Eset foram capazes de determinar em quais portas e de quais hosts esses aplicativos se comunicam, em quais eles confiam e em quais não. Devido à granularidade dos aplicativos e às versões específicas usadas em alguns casos, vulnerabilidades conhecidas podem ser exploradas na topologia de rede que um invasor já teria mapeado.

Extensas informações de roteamento central: de rotas de rede central a emparelhamento BGP, OSPF, RIP e outros, a Eset encontrou layouts completos do funcionamento interno de várias organizações, que forneceriam informações extensas de topologia de rede para exploração subsequente, caso os dispositivos caíssem nas mãos de um adversário. As configurações recuperadas também continham locais próximos e internacionais de muitos escritórios e operadores remotos, incluindo sua relação com o escritório corporativo – mais dados que seriam altamente valiosos para possíveis adversários. O tunelamento IPsec pode ser usado para conectar roteadores confiáveis ​​uns aos outros, o que pode ser um componente de arranjos de peering de roteador WAN e similares.

Operadores confiáveis: os dispositivos foram carregados com credenciais corporativas potencialmente crackeáveis ​​ou diretamente reutilizáveis ​​– incluindo logins de administrador, detalhes de VPN e chaves criptográficas – que permitiriam que atores mal-intencionados se tornassem entidades confiáveis ​​e, assim, obtivessem acesso à rede.

“Existem processos bem documentados para o descomissionamento adequado de hardware, e esta pesquisa mostra que muitas empresas não os estão seguindo rigorosamente ao preparar dispositivos para o mercado de hardware secundário”, disse Tony Anscombe, Chief Security Evangelist da Eset. “Explorar uma vulnerabilidade ou fazer spearphishing para obter credenciais é um trabalho potencialmente árduo. Mas nossa pesquisa mostra que há uma maneira muito mais fácil de obter esses dados e muito mais. Instamos as organizações envolvidas no descarte de dispositivos, destruição de dados e revenda de dispositivos para dar uma olhada em seus processos e garantir que eles estejam em conformidade com os mais recentes padrões NIST para sanitização de mídia”, completou.

Os roteadores nesta pesquisa se originaram em organizações que variam de empresas de médio porte a empresas globais em uma variedade de setores (Data Centers, escritórios de advocacia, provedores de tecnologia terceirizados, empresas de manufatura e tecnologia, empresas criativas e desenvolvedores de software). Como parte do processo de descoberta, a Eset, sempre que possível, divulgou as descobertas para cada organização identificada – várias delas nomes familiares – colaborando para garantir que estivessem cientes dos detalhes potencialmente comprometidos por outras pessoas na cadeia de custódia dos dispositivos. Algumas das organizações com informações comprometidas não responderam às repetidas tentativas de comunicação da Eset, enquanto outras mostraram proficiência, lidando com o evento como uma violação de segurança total.

As organizações são lembradas de verificar se estão usando um terceiro confiável e competente para descartar os dispositivos ou se estão tomando todas as precauções necessárias ao lidar com o descomissionamento por conta própria. Isso deve estender os roteadores e discos rígidos para qualquer dispositivo que faça parte da rede. Muitas organizações nesta pesquisa provavelmente sentiram que estavam contratando fornecedores confiáveis, mas seus dados ainda vazaram. Com isso em mente, é recomendável que as organizações sigam as diretrizes do fabricante para remover todos os dados de um dispositivo antes que ele saia fisicamente de suas instalações, uma etapa simples que muitos funcionários de TI podem realizar.

Serviço
www.eset.com