Yapılandırma verilerine bakıldığında, ESET’e göre ikincil piyasada elden çıkarılan ve satılan devre dışı bırakılan yönlendiricilerin %56’sı hassas kurumsal veriler içeriyordu.
Tüm yapılandırma verilerinin mevcut olduğu ağlardan:
- %22’si müşteri verilerini içeriyordu
- Ağa üçüncü taraf bağlantılarına izin veren %33 açığa çıkan veriler
- %44’ü güvenilir bir taraf olarak diğer ağlara bağlanmak için kimlik bilgilerine sahipti
- Belirli uygulamalar için %89 ayrıntılı bağlantı ayrıntıları
- %89’u yönlendiriciden yönlendiriciye kimlik doğrulama anahtarları içeriyordu
- %100’ü bir veya daha fazla IPsec veya VPN kimlik bilgisi veya hashing uygulanmış kök parolalar içeriyordu
- %100’ü, eski sahibi/operatörü güvenilir bir şekilde tespit etmek için yeterli veriye sahipti
Projeyi yöneten ESET güvenlik araştırmacısı Cameron Camp, “Bulgularımızın potansiyel etkisi son derece endişe verici ve bir uyandırma çağrısı olmalı” dedi.
“Orta ölçekli ve kurumsal şirketlerin, cihazları devre dışı bırakmak için katı güvenlik girişimlerine sahip olmasını beklerdik, ancak tam tersini bulduk. İkincil piyasadan elde ettiğimiz cihazların çoğu, çekirdek ağ bilgileri dahil ancak bunlarla sınırlı olmamak üzere, ilgili şirketin dijital bir planını içerdiğinden, kuruluşların incelemeye aldıkları cihazlarda nelerin kaldığı konusunda çok daha fazla farkında olmaları gerekir. , uygulama verileri, kurumsal kimlik bilgileri ve ortaklar, satıcılar ve müşteriler hakkında bilgiler,” diye devam etti Camp.
Kuruluşlar genellikle dijital ekipmanın güvenli bir şekilde imha edilmesini veya geri dönüştürülmesini ve bunların içerdiği verilerin imha edilmesini doğrulamakla görevli üçüncü taraf şirketler aracılığıyla eskiyen teknolojiyi geri dönüştürür.
İster bir e-atık şirketinden kaynaklanan bir hata isterse şirketin kendi imha süreçlerinden kaynaklanan bir hata olsun, yönlendiricilerde aşağıdakiler de dahil olmak üzere bir dizi veri bulundu:
Üçüncü taraf verileri
Gerçek dünyadaki siber saldırılarda gördüğümüz gibi, bir şirketin ağına yönelik bir ihlal, müşterilerini, ortaklarını ve bağlantılarının olabileceği diğer işletmeleri kapsayacak şekilde çoğalabilir.
güvenilir taraflar
Güvenilir taraflar (ikincil bir saldırı vektörü olarak taklit edilebilir), bu cihazlarda bulunan sertifikaları ve kriptografik belirteçleri kabul ederek, güvenilir kimlik bilgileriyle çok inandırıcı bir ortadaki düşman (AitM) saldırısına izin vererek, kurumsal sırları çalabilen ve kurbanların farkında olmadan uzun süreler için.
Müşteri bilgisi
Bazı durumlarda, çekirdek yönlendiriciler, sahiplerinin müşterileri hakkında belirli bilgiler içeren dahili ve/veya harici bilgi depolarına işaret eder, bazen şirket içinde depolanır ve bu, bir düşman onlar hakkında belirli bilgiler edinebilirse müşterileri potansiyel güvenlik sorunlarına açabilir.
Özel uygulamalar
Hem yerel olarak barındırılan hem de bulutta belirli kuruluşlar tarafından kullanılan başlıca uygulama platformlarının eksiksiz haritaları, bu cihazların yapılandırmaları boyunca serbestçe dağıtıldı. Bu uygulamalar, kurumsal e-postadan müşteriler için güvenilir istemci tünellerine, belirli satıcılar ve yakınlık erişim kartları için topolojiler gibi fiziksel bina güvenliğine ve belirli gözetleme kamera ağlarına ve satıcılara, satış ve müşteri platformlarına kadar uzanır.
Ek olarak ESET araştırmacıları, bu uygulamaların hangi bağlantı noktaları üzerinden ve hangi ana bilgisayarlardan iletişim kurduğunu, hangilerine güvenip hangilerine güvenmediklerini belirleyebildiler. Uygulamaların ayrıntı düzeyi ve bazı durumlarda kullanılan belirli sürümler nedeniyle, bir saldırganın zaten eşlemiş olabileceği ağ topolojisi genelinde bilinen güvenlik açıklarından yararlanılabilir.
Kapsamlı çekirdek yönlendirme bilgisi
Çekirdek ağ yollarından BGP eşleştirmesine, OSPF’ye, RIP’ye ve diğerlerine kadar ESET, çeşitli kuruluşların iç işleyişlerinin eksiksiz düzenlerini buldu; bu, cihazlar bir rakibin eline geçtiğinde sonraki istismar için kapsamlı ağ topolojisi bilgileri sağlayacaktı.
Kurtarılan yapılandırmalar, şirket ofisi ile ilişkileri de dahil olmak üzere birçok uzak ofis ve operatörün yakınlardaki ve uluslararası konumlarını da içeriyordu – potansiyel düşmanlar için oldukça değerli olabilecek daha fazla veri.
IPsec tünelleme, güvenilir yönlendiricileri birbirine bağlamak için kullanılabilir; bu, WAN yönlendirici eşleme düzenlemelerinin ve benzerlerinin bir bileşeni olabilir.
güvenilir operatörler
Cihazlara, potansiyel olarak kırılabilir veya doğrudan yeniden kullanılabilir kurumsal kimlik bilgileri (yönetici oturumları, VPN ayrıntıları ve kriptografik anahtarlar dahil) yüklendi;
ESET Baş Güvenlik Evanjelisti Tony Anscombe, “Donanımın uygun şekilde kullanımdan kaldırılması için iyi belgelenmiş süreçler var ve bu araştırma, birçok şirketin cihazları ikincil donanım pazarına hazırlarken bunları titizlikle takip etmediğini gösteriyor” dedi.
“Bir güvenlik açığından yararlanmak veya kimlik bilgileri için spearphishing yapmak potansiyel olarak zor bir iştir. Ancak araştırmamız, bu verileri ve daha fazlasını ele geçirmenin çok daha kolay bir yolu olduğunu gösteriyor. Cihaz imhası, veri imhası ve cihazların yeniden satışı ile ilgili kuruluşları, süreçlerine yakından bakmaya ve ortam temizleme için en son NIST standartlarına uygun olduklarından emin olmaya çağırıyoruz,” diye ekledi Anscombe.
Bu araştırmadaki yönlendiriciler, orta ölçekli işletmelerden çeşitli sektörlerdeki küresel işletmelere (veri merkezleri, hukuk firmaları, üçüncü taraf teknoloji sağlayıcılar, üretim ve teknoloji şirketleri, yaratıcı firmalar ve yazılım geliştiriciler) kadar uzanan kuruluşlardan kaynaklanmıştır.
Keşif sürecinin bir parçası olarak, ESET, mümkün olduğunda, bulguları, cihazların gözetim zincirindeki başkaları tarafından potansiyel olarak tehlikeye atılan ayrıntıların farkında olmalarını sağlamak için işbirliği yaparak, tanımlanan her bir kuruluşa (birçoğu ev adı) açıkladı.
Bilgi güvenliği ihlal edilmiş kuruluşlardan bazıları, ESET’in tekrarlanan bağlanma girişimlerine yanıt vermezken, diğerleri olayı tam bir güvenlik ihlali olarak ele alarak yeterlilik gösterdi.
Kuruluşlara, cihazları elden çıkarmak için güvenilir, yetkin bir üçüncü taraf kullandıklarını veya hizmetten çıkarma işlemini kendileri gerçekleştiriyorsa gerekli tüm önlemleri aldıklarını doğrulamaları hatırlatılır.
Bu, geçmiş yönlendiricileri ve sabit sürücüleri ağın parçası olan herhangi bir cihaza kadar genişletmelidir. Bu araştırmadaki birçok kuruluş muhtemelen saygın satıcılarla sözleşme yaptıklarını hissetti, ancak verileri yine de sızdırıldı.
Bunu göz önünde bulundurarak, kuruluşların bir cihazdaki tüm verileri fiziksel olarak tesislerinden ayrılmadan önce kaldırmaya yönelik üretici yönergelerini izlemeleri önerilir; bu, birçok BT personelinin üstesinden gelebileceği basit bir adımdır.
Kuruluşlara açıklama bildirimlerini ciddiye almaları hatırlatılır. Aksini yapmak, onları maliyetli bir veri ihlaline ve önemli itibar kaybına karşı savunmasız bırakabilir.