Ανησυχητικά ευρήματα από την ESET 

Η ESET παρουσίασε νέα έρευνα σχετικά με εταιρικές συσκευές δικτύων που αποσύρθηκαν και στη συνέχεια πουλήθηκαν σε δευτερογενή αγορά. Η εταιρεία εξέτασε τα δεδομένα διαμόρφωσης από 16 διαφορετικούς εταιρικούς routers και διαπίστωσε ότι πάνω από το 56% – εννέα routers – περιείχαν ακόμα ευαίσθητα εταιρικά δεδομένα. Σε λάθος χέρια, αυτά τα δεδομένα είναι αρκετά για να πυροδοτήσουν μια κυβερνοεπίθεση που θα οδηγούσε σε παραβίαση δεδομένων, βάζοντας σε κίνδυνο την εταιρεία, τους συνεργάτες και τους πελάτες της. 
 

Πιο συγκεκριμένα από τις εννέα συσκευές που ερευνήθηκαν:  

• Το 22% περιείχαν δεδομένα πελατών. 

• Το 33% περιείχαν δεδομένα που επέτρεπαν συνδέσεις τρίτων στο δίκτυο. 

• Το 44% είχε διαπιστευτήρια για σύνδεση σε άλλα δίκτυα ως έμπιστο μέρος. 

• Το 89% περιείχε αναλυτικά στοιχεία σύνδεσης για συγκεκριμένες εφαρμογές. 

• Το 89% περιείχε κλειδιά αυθεντικοποίησης router-to-router. 

• Το 100% περιείχε ένα ή περισσότερα από τα διαπιστευτήρια IPsec ή VPN ή κωδικούς root. 

• Το 100% είχε επαρκή δεδομένα για την αξιόπιστη ταυτοποίηση του πρώην ιδιοκτήτη/διαχειριστή. 

«Τα ευρήματά μας είναι εξαιρετικά ανησυχητικά και θα πρέπει να μας αφυπνίσουν», δήλωσε ο Cameron Camp, ερευνητής ασφαλείας της ESET που ηγήθηκε της έρευνας. «Θα περιμέναμε ότι οι μεσαίου και μεγάλου μεγέθους εταιρείες θα είχαν ένα αυστηρό σύνολο πρωτοβουλιών ασφαλείας για την απόσυρση συσκευών, αλλά διαπιστώσαμε το αντίθετο. Οι οργανισμοί πρέπει να είναι πολύ προσεκτικοί σχετικά με το τι παραμένει στις συσκευές που βγάζουν προς πώληση, καθώς η πλειονότητα των συσκευών που πήραμε από τη δευτερογενή αγορά περιείχε ένα ψηφιακό πλάνο της εμπλεκόμενης εταιρείας, συμπεριλαμβανομένων, μεταξύ άλλων, βασικών πληροφοριών δικτύου, δεδομένων εφαρμογών, εταιρικών διαπιστευτηρίων και πληροφοριών σχετικά με συνεργάτες, προμηθευτές και πελάτες», συνέχισε. 

Οι οργανισμοί συχνά ανακυκλώνουν τις παλαιές συσκευές μέσω τρίτων εταιρειών που είναι επιφορτισμένες με την επαλήθευση της ασφαλούς καταστροφής ή ανακύκλωσης του ψηφιακού εξοπλισμού και της διάθεσης των δεδομένων που περιέχονται σε αυτόν. 

Είτε λόγω σφάλματος της εταιρείας ανακύκλωσης, είτε λόγω των διαδικασιών απόρριψης της εταιρείας, στους εταιρικούς routers βρέθηκε μια σειρά από δεδομένα, μεταξύ των οποίων: 

Δεδομένα τρίτων: Η παραβίαση του δικτύου μιας εταιρείας μπορεί να εξαπλωθεί στους πελάτες, τους συνεργάτες και άλλες επιχειρήσεις με τις οποίες μπορεί να συνδέονται. 

Αξιόπιστα μέρη: Τα έμπιστα μέρη (τα οποία θα μπορούσαν χρησιμοποιηθούν ως δευτερεύων φορέας επίθεσης) θα αποδέχονταν πιστοποιητικά και κρυπτογραφικά tokens που βρίσκονται σε αυτές τις συσκευές, επιτρέποντας μια πολύ πειστική επίθεση adversary in the middle (AitM) με έμπιστα διαπιστευτήρια, ικανή να αποσπάσει εταιρικά μυστικά, με τα θύματα να μην το γνωρίζουν για μεγάλα χρονικά διαστήματα. 

Δεδομένα πελατών: Αυτό μπορεί να προκαλέσει πιθανά προβλήματα ασφάλειας στους πελάτες, εάν ένας αντίπαλος είναι σε θέση να αποκτήσει συγκεκριμένες πληροφορίες σχετικά με αυτούς. 

Ειδικές εφαρμογές: Οι συσκευές αυτές περιείχαν πληροφορίες των σημαντικότερων εφαρμογών που χρησιμοποιούνται από συγκεκριμένους οργανισμούς, τόσο σε τοπικό επίπεδο όσο και στο νέφος. Οι εφαρμογές αυτές κυμαίνονται από το εταιρικό ηλεκτρονικό ταχυδρομείο έως ασφαλείς συνδέσεις πελατών, πληροφορίες για τη φυσική ασφάλεια κτιρίων, όπως προμηθευτές και τοπολογίες για κάρτες πρόσβασης και δίκτυα με κάμερες παρακολούθησης, καθώς και προμηθευτές και πλατφόρμες πωλήσεων και πελατών. Επιπλέον, οι ερευνητές της ESET μπόρεσαν να προσδιορίσουν σε ποιες θύρες και από ποιους κεντρικούς υπολογιστές επικοινωνούν αυτές οι εφαρμογές. Λόγω της λεπτομέρειας των εφαρμογών και των συγκεκριμένων εκδόσεων που χρησιμοποιήθηκαν σε ορισμένες περιπτώσεις, θα μπορούσαν να αξιοποιηθούν γνωστές ευπάθειες σε όλη την τοπολογία του δικτύου που ένας εισβολέας θα είχε ήδη χαρτογραφήσει. 

Εκτεταμένες πληροφορίες δρομολόγησης: Η ESET βρήκε πλήρεις διατάξεις των εσωτερικών λειτουργιών διαφόρων οργανισμών, οι οποίες θα παρείχαν εκτεταμένες πληροφορίες τοπολογίας δικτύου για εκμετάλλευση, εάν οι συσκευές έπεφταν στα χέρια ενός αντιπάλου. Οι διαμορφώσεις που ανακτήθηκαν περιείχαν επίσης τοπικές και διεθνείς τοποθεσίες απομακρυσμένων γραφείων και χειριστών, συμπεριλαμβανομένης της σχέσης τους με τα κεντρικά γραφεία – περισσότερα δεδομένα που θα ήταν εξαιρετικά πολύτιμα για πιθανούς αντιπάλους. Η σήραγγα IPsec μπορεί να χρησιμοποιηθεί για τη σύνδεση αξιόπιστων δρομολογητών μεταξύ τους, η οποία μπορεί να αποτελεί συστατικό στοιχείο ρυθμίσεων ομότιμων WAN router. 

Έμπιστοι χειριστές: Οι συσκευές ήταν γεμάτες με δυνητικά ανακτήσιμα ή άμεσα επαναχρησιμοποιήσιμα εταιρικά διαπιστευτήρια – συμπεριλαμβανομένων των συνδέσεων διαχειριστή, των στοιχείων VPN και των κρυπτογραφικών κλειδιών – που θα επέτρεπαν στους κακόβουλους φορείς να αποκτήσουν πρόσβαση σε όλο το δίκτυο. 

Οι routers της έρευνας προέρχονταν από μεσαίες επιχειρήσεις έως μεγάλες πολυεθνικές που δραστηριοποιούνται σε διάφορους κλάδους (κέντρα δεδομένων, δικηγορικά γραφεία, πάροχοι τεχνολογίας, κατασκευαστικές εταιρείες, εταιρείες τεχνολογίας, δημιουργικά γραφεία και εταιρείες ανάπτυξης λογισμικού). 

Στο πλαίσιο της διαδικασίας, η ESET, όπου ήταν δυνατόν, γνωστοποίησε τα ευρήματα σε κάθε οργανισμό – αρκετοί από αυτούς ήταν γνωστές εταιρείες – για να διασφαλίσει ότι είχαν επίγνωση των λεπτομερειών που ενδεχομένως διακυβεύονταν από άλλους στην αλυσίδα φύλαξης των συσκευών. 

Ορισμένοι από τους οργανισμούς ήταν εξαιρετικά απρόθυμοι στις επανειλημμένες προσπάθειες της ESET να επικοινωνήσει μαζί τους, ενώ άλλοι έδειξαν την απαιτούμενη προσοχή αντιμετωπίζοντας το συμβάν ως μια ολοκληρωμένη παραβίαση της ασφάλειας. 

Υπενθυμίζεται ότι οι οργανισμοί πρέπει να χρησιμοποιούν ένα αξιόπιστο, αρμόδιο τρίτο μέρος για την απόρριψη των συσκευών ή να λαμβάνουν όλες τις απαραίτητες προφυλάξεις εάν χειρίζονται οι ίδιοι την απόσυρση. Αυτό θα πρέπει να επεκτείνεται πέρα από τους routers και τους σκληρούς δίσκους σε κάθε συσκευή που αποτελεί μέρος του δικτύου. 

Τεύχος 273