Cameron Camp, Microsoft Exchange ve endüstriyel kontrol sistemleri cihazlarına yönelik uzak masaüstü protokolü (RDP) istismarlarını ve saldırılarını incelemek için kurduğu bir bal küpü ağında kullanmak üzere geçen yıl eBay’den bir Juniper SRX240H yönlendirici satın almıştı. Eset’te uzun süredir güvenlik araştırmacısı olan ikinci el Juniper yönlendiricisini başlattığında, bir ana bilgisayar adını göstermesi onu şaşırttı.
Cihaza daha yakından baktıktan sonra Camp, yönlendiricide ne bulduğunu uyarmak için Eset’in baş güvenlik vaizi Tony Anscombe ile temasa geçti. Camp, Anscombe’a “Bu şeyin üzerinde Silikon Vadisi A-listesi yazılım şirketi bilgilerinin tam bir hazinesi var” dedi.
Camp, “Çok ama çok endişelendik” diyor.
Camp ve Anscombe, bunun hâlâ önceki sahiplerinin ağlarından bilgi barındıran diğer hizmet dışı bırakılmış yönlendiriciler için buzdağının görünen kısmı olabileceğine dair teorilerini test etmeye karar verdiler. Devre dışı bırakılmış birkaç çekirdek yönlendirici daha satın aldılar — dört Cisco Systems ASA 5500, üç Fortinet FortiGate ve 11 Juniper Networks SRX Series Services Gateway yönlendirici.
Biri açılmayınca ve diğer ikisi aslında eski bir kümeden ikizlenmiş yönlendiriciler olduktan sonra karışımdan birkaçını çıkardıktan sonra, kalan 16 kişiden dokuzunun hassas çekirdek ağ yapılandırma bilgilerini, kurumsal kimlik bilgilerini ve kurumsal uygulamalar, müşteriler hakkındaki verileri tuttuğunu gördüler. , satıcılar ve iş ortakları. Yönlendiricilerde açığa çıkan uygulamalar, birçok kuruluşta kullanılan ünlü yazılımlardı: Microsoft Exchange, Lync/Skype, PeopleSoft, Salesforce, Microsoft SharePoint, Spiceworks, SQL, VMWare Horizon View, IP üzerinden ses, Dosya Aktarım Protokolü (FTP) ve Basit Dizin Erişim Protokolü (LDAP) uygulamaları.
Bu ağ omurga cihazları, özünde, Sınır Ağ Geçidi Protokolü (BGP), Yönlendirme Bilgi Protokolü (RIP) ve bu ağlardan gelen En Kısa Yolu Önce Aç (OSPF) yönlendirme bilgileri dahil olmak üzere önceki sahip kuruluşların ağlarının dijital planlarını içeriyordu. Eset araştırmacılarının yönlendirici araştırmasıyla ilgili teknik incelemesine göre, araştırmacılar, tehdit aktörlerinin elinde saldırı için bir ağ topolojisi haritası sağlayacak “çeşitli kuruluşların iç işleyişinin eksiksiz düzenlerini buldular”.
Yönlendiriciler, bir veya daha fazla IPSec veya VPN kimlik bilgisi veya karma kök parolaları içeriyordu ve her biri, araştırmacıların cihazın önceki gerçek sahibini/operatörünü belirlemesi için yeterli veriye sahipti. Yaklaşık %90’ı, yönlendiriciden yönlendiriciye kimlik doğrulama anahtarlarını ve ağlara bağlı uygulamalara ilişkin ayrıntıları içeriyordu; yaklaşık %44’ünün diğer ağlara (tedarikçi veya ortak gibi) ait ağ kimlik bilgileri vardı; %33’ü ağa üçüncü taraf bağlantılarını içeriyordu; ve %22’si müşteri bilgilerini barındırıyordu.
Örneğin Camp, “Bulut varlıkları gibi hem dahili hem de harici çekirdek altyapılarının tüm ağ topolojisine sahibim” diyor.
Camp, keşfin, tipik olarak incelediği kötü amaçlı yazılımdan çok farklı olduğunu ve bu temizlenmemiş yönlendiricilerden birine rastlayan bir saldırgan için çok daha az iş olduğunu söylüyor. Camp, “Sıfır güne ihtiyacım yok, yönlendiricin bende,” diye espri yapıyor.
Abscombe ve Camp, bulgularını önümüzdeki hafta RSA Konferansı’nda sunarken, işletmeleri kritik ağ yönlendiricilerinin uygun şekilde elden çıkarılması konusunda uyarmayı umduklarını söylüyorlar.
Camp, çekirdek yönlendiriciler için “Kuruluşunuzda olan her şeyin kesiştiği noktadır” diyor. Pek çok bulut hizmeti de dahil olmak üzere “Her şey yönlendiriciye dokunuyor” diye ekliyor.
Geri dönüştürülmüş ve yeniden tasarlanmış bilgi işlem ekipmanları geleneksel olarak sıkıntılı bir alan olmuştur. Yıllar boyunca sabit diskler, mobil cihazlar ve yazıcılar hassas verilerden uygunsuz bir şekilde temizlendi. 2019’da Rapid7 tarafından yürütülen bir araştırma, 85 cihazdan yalnızca ikisinin, ikinci el satıcılara veya geri dönüşüm hizmetlerine teslim edilmeden önce uygun şekilde silindiğini ortaya çıkardı. Ancak hizmet dışı bırakılan ve silinmeyen yönlendiriciler, tuttukları çok büyük miktarda altyapı bilgisi nedeniyle daha derin bir güvenlik riski oluşturur.
“Ürpertici” Arayüz
Bilgileri açığa çıkan kuruluşlar arasında bir üretim şirketi, bir ABD hukuk firması, yönetilen hizmet sağlayıcıları, bir açık kaynak yazılım firması, bir etkinlik şirketi, bir telekomünikasyon ekipmanı tedarikçisi, bir küresel veri şirketi ve bir yaratıcı hizmetler şirketi yer alıyor. Eset, kuruluşların isimlerini açıklamadı ancak araştırmacılar hepsiyle iletişime geçtiklerini doğruladı.
Silikon Vadisi yazılım satıcısı hızlı yanıt verdi, hatta Camp’e bir böcek ödülü bile verdi ve bunu daha sonra Electronic Freedom Foundation ve Tor Projesi’ne bağışladı. Ancak bu, araştırmacıların en kolay ifşasıydı.
“Teknolojinin dışına çıktığımızda [sector]Anscombe, “inanılmaz derecede farklıydı” ve bulgularımızı ifşa etmenin daha zor olduğunu belirtiyor.
Bu arada silinmemiş yönlendiricilerden biri, Camp’in “ürkütücü” bir uzaktan yönetim arabirimi olarak tanımladığı şeyi içeriyordu.
“Bilerek yapıldığından hiçbir zaman emin olamadım ama ürkütücüydü, çok düşük seviyeli bir erişimdi ve bayrakları olan ülkelerden birinden [the US] şu an için mutlu değilim” diyor. “Tamamen yasal olabilir veya bu gerçekten kötü olabilir. Bana biraz gergin geldi.”
Bir Çekirdek Yönlendiriciyi Güvenli Bir Şekilde Atma
Peki emekli olmak istediğiniz bir yönlendiriciyi nasıl silersiniz? İyi haber şu ki, çoğu yönlendiricinin güvenli bir şekilde kullanımdan kaldırılması oldukça kolaydır ve web sitelerinde üç büyük Cisco, Fortinet ve Juniper, cihazları fabrika varsayılan ayarlarına geri yüklemek için ayrıntılı yönergeler sağlar.
Örneğin, Juniper yönlendiricileri ile cihazı silmek basittir: “Yapılandırma ayarına gidip ‘delete’ yazın, ‘Y’ye basın [to confirm] ve artık bu yönlendirici artık kim olduğunu bilmiyor,” diyor Camp. Tüm silme işlemi, silme sonrası yeniden başlatma da dahil olmak üzere beş dakikadan az sürüyor.
Kuruluşunuz düzgün bir şekilde silinmemiş yönlendiricileri zaten atmışsa, bir saldırganın eski yönlendiricinizi ele geçirmesi ve ağınıza güvenilir erişim elde etmeye çalışması ihtimaline karşı Eset kriptografik anahtarların dönüşümlü olarak kullanılmasını önerir. Sıfır güvenin burada da yardımcı olabileceğini söylüyorlar.
Ancak bu, eski yönlendiricinizi satın alan kötü niyetli bir aktörün onu yine de kuruluşunuzu hedef almak için kullanamayacağının garantisi değildir. “Birisi gidip yönlendiricide önbelleğe alınan hesapların kimlik bilgilerini değiştirse bile, potansiyel olarak [the attacker has] uygulama listelerini aldım, yani [they] hangi uygulamaların dahili olarak yerel olarak veya bulutta çalıştırıldığını söyleyebilir” diyor Abscombe.
Abscombe’a göre bu, saldırgana hedefli bir saldırı planlamak için yeterli bilgiyi veriyor. “Koştuklarını bilsem [a specific version of] Exchange ve bu sürüm bir CVE’ye sahipti ve yamayı uygulamamışlardı … Birdenbire ağları hakkında onları savunmasız bırakabilecek şeyler biliyorum” diyor.
İkinci el bir çekirdek yönlendirici satın alırsanız ve araştırmacıların hala önceki sahibinin bilgilerini içerdiğini fark etmesi gibi, Eset yönlendiricinin bağlantısını kesmenizi ve güvenli bir alana taşımanızı ve bölgenizdeki CISA ofisi ile iletişime geçmenizi önerir. Ayrıca, sigorta veya yasal amaçlar için bir önlem olarak satın alma işleminizi belgelemenin en iyisi olduğunu söylüyorlar.