Uç Nokta Güvenliği , Donanım / Yonga Düzeyinde Güvenlik
Eset, Kullanılan Yönlendiricilerde Müşteri Bilgilerini, VPN Kimlik Bilgilerini ve Kimlik Doğrulama Anahtarlarını Buluyor
Prajeet Nair (@prajeetspeaks) •
19 Nisan 2023
Hizmetten çıkarmadan önce BT donanımını sterilize edin, her yerde şirketlere yapılan iyi bilinen bir siber güvenlik tavsiyesidir ve yine de birçoğu, hala hassas verilerle yüklü olan ekipmanları elden çıkarmakta ısrar ediyor.
Ayrıca bakınız: Ateşkes! Çeviklik ve Güvenlik, Bulut Güvenliğinde “Birlikte Daha İyi” Çalışan Ortaklık Buluyor
Siber güvenlik firması Eset, ikinci el ekipmanlarda gizli sırları keşfeden araştırmacılarla ilgili bol miktarda literatüre yenilerini eklemeyi düşünmediğini söylüyor. Ancak bir düzineden fazla kullanılmış yönlendiriciyi içeren ilgisiz bir laboratuvar deneyi, yine de bir siber saldırı için çok sayıda yararlı bilgi ortaya çıkardı, şirket araştırmacıları bir raporda yazıyor.
İncelenen ikinci el yönlendiricilerin yarısından fazlası, muhtemelen tehdit aktörlerinin önceki sahiplerinin ağ yapılandırmalarına erişmesini sağlayan cihazlardaki verilerle daha önce kullanılmış yapılandırmalar içeriyordu.
Eset, orta ölçekli işletmelere ait 16 farklı ağ cihazını analiz etti ve dokuz cihazın hala hassas veriler içerdiğini tespit etti.
Araştırmacılar, “Eset’in ikincil piyasa satıcılarından satın aldığı çekirdek yönlendiricilerin %56’sından fazlası, kurumsal kimlik bilgileri, VPN ayrıntıları, kriptografik anahtarlar ve daha fazlası dahil olmak üzere hassas veriler içeriyordu” diyor.
Önceki yapılandırmaları içeren dokuz yönlendiricinin dökümü şunları gösterir:
- %22’si müşteri verilerini içeriyordu;
- Ağa üçüncü taraf bağlantılarına izin veren %33 açığa çıkan veriler;
- %44’ü diğer ağlara güvenilir bir taraf olarak bağlanmak için kimlik bilgilerine sahipti;
- Belirli uygulamalar için %89 oranında ayrıntılı bağlantı ayrıntıları;
- %89’u yönlendiriciden yönlendiriciye kimlik doğrulama anahtarları içeriyordu;
- %100’ü bir veya daha fazla IPsec veya VPN kimlik bilgisini veya karma kök parolaları içeriyordu;
- %100’ü, eski sahibi/operatörü güvenilir bir şekilde tespit etmek için yeterli veriye sahipti.
Projeyi yöneten Eset güvenlik araştırmacısı Cameron Camp, Information Security Media Group’a araştırmanın ekibin Microsoft Exchange ve RDP saldırılarını analiz eden bir test senaryosu başlatmasının ardından ortaya çıktığını söyledi. Senaryo için satın alınan bir yönlendiricinin üzerinde hala veri olduğunu fark ettiler.
“Kısa bir süre sonra bunun asıl sahibi için hem kasıtsız hem de potansiyel olarak çok riskli olduğunu ve muhtemelen onlar için yasal sonuçları olduğunu fark ettik. Bir şirketin yönlendiricisinin açık pazardaki sonuçları, saldırı süresini radikal bir şekilde kısaltması ve erişime izin vermesi bakımından hala sırlar içeriyor. Camp, “en zengin veri kümelerinden birine – kötü bir oyuncuya erişmenin sayısız yolunu açıyor” dedi.
Araştırmacılar tarafından ikincil pazardan elde edilen analiz edilen cihazların çoğunda “temel ağ bilgileri, uygulama verileri, kurumsal kimlik bilgileri ve ortaklar, satıcılar ve müşteriler hakkında bilgiler dahil ancak bunlarla sınırlı olmamak üzere ilgili şirketin dijital bir planı” vardı.
Eset, bulguları tanımlanan her kuruluşa açıkladı. Bazıları keşiflere yanıt vermedi, “diğerleri olayı tam gelişmiş bir güvenlik ihlali olarak ele alarak yeterlilik gösterdi.”
Araştırmayı Camp ile birlikte yöneten Eset baş güvenlik evangelisti Tony Anscombe, bulguların birçok şirketin hizmetten çıkarma protokollerini açıkça takip etmediğini gösterdiğini söyledi.
Anscombe, “Bir güvenlik açığından yararlanmak veya kimlik bilgileri için hedefli kimlik avı yapmak potansiyel olarak zor bir iştir. Ancak araştırmamız, bu verileri ve daha fazlasını ele geçirmenin çok daha kolay bir yolu olduğunu gösteriyor” dedi.