0
0
Olhando para os dados de configuração, 56% dos roteadores desativados descartados e vendidos no mercado secundário continham dados corporativos confidenciais, de acordo com a ESET.
Das redes que tinham dados de configuração completos disponíveis:
- 22% continham dados de clientes
- 33% de dados expostos que permitem conexões de terceiros com a rede
- 44% tinham credenciais para se conectar a outras redes como uma parte confiável
- 89% de detalhes de conexão detalhados para aplicativos específicos
- 89% continham chaves de autenticação de roteador a roteador
- 100% continha uma ou mais credenciais IPsec ou VPN, ou senhas raiz com hash
- 100% tinham dados suficientes para identificar de forma fiável o antigo proprietário/operador
“O impacto potencial de nossas descobertas é extremamente preocupante e deve ser um alerta”, disse Cameron Camp, pesquisador de segurança da ESET que liderou o projeto.
“Esperamos que as empresas de médio a grande porte tenham um conjunto rigoroso de iniciativas de segurança para desativar dispositivos, mas descobrimos o oposto. As organizações precisam estar muito mais conscientes do que resta nos dispositivos que colocam no pasto, uma vez que a maioria dos dispositivos que obtivemos do mercado secundário continha um modelo digital da empresa envolvida, incluindo, mas não limitado a, informações centrais de rede, dados de aplicativos, credenciais corporativas e informações sobre parceiros, fornecedores e clientes, ” Camp continuou.
As organizações geralmente reciclam a tecnologia envelhecida por meio de empresas terceirizadas encarregadas de verificar a destruição segura ou a reciclagem de equipamentos digitais e o descarte dos dados neles contidos.
Seja um erro de uma empresa de lixo eletrônico ou dos próprios processos de descarte da empresa, uma variedade de dados foi encontrada nos roteadores, incluindo:
Dados de terceiros
Como vimos em ataques cibernéticos do mundo real, uma violação da rede de uma empresa pode proliferar para seus clientes, parceiros e outras empresas com as quais eles podem ter conexões.
Partes de confiança
Partes confiáveis (que poderiam ser personificadas como um vetor de ataque secundário) aceitariam certificados e tokens criptográficos encontrados nesses dispositivos, permitindo um ataque adversário muito convincente no meio (AitM) com credenciais confiáveis, capazes de desviar segredos corporativos, com vítimas inconscientes por longos períodos.
Dados do cliente
Em alguns casos, os roteadores principais apontam para armazenamentos de informações internas e/ou externas com informações específicas sobre os clientes de seus proprietários, às vezes armazenadas no local, o que pode abrir os clientes para possíveis problemas de segurança se um adversário for capaz de obter informações específicas sobre eles.
Aplicações específicas
Mapas completos das principais plataformas de aplicativos usadas por organizações específicas, tanto hospedadas localmente quanto na nuvem, foram espalhados liberalmente pelas configurações desses dispositivos. Esses aplicativos variam de e-mail corporativo a túneis de clientes confiáveis para clientes, segurança de edifícios físicos, como fornecedores específicos e topologias para cartões de acesso de proximidade e redes de câmeras de vigilância específicas, e fornecedores, vendas e plataformas de clientes, para mencionar alguns.
Além disso, os pesquisadores da ESET foram capazes de determinar sobre quais portas e de quais hosts esses aplicativos se comunicam, em quais eles confiam e quais não. Devido à granularidade dos aplicativos e das versões específicas usadas em alguns casos, vulnerabilidades conhecidas podem ser exploradas em toda a topologia de rede que um invasor já teria mapeado.
Extensas informações de roteamento principais
De rotas de rede principal a emparelhamento BGP, OSPF, RIP e outros, a ESET encontrou layouts completos do funcionamento interno de várias organizações, que forneceriam extensas informações de topologia de rede para exploração subsequente, caso os dispositivos caíssem nas mãos de um adversário.
As configurações recuperadas também continham locais próximos e internacionais de muitos escritórios e operadores remotos, incluindo seu relacionamento com o escritório corporativo – mais dados que seriam altamente valiosos para potenciais adversários.
O encapsulamento IPsec pode ser usado para conectar roteadores confiáveis uns aos outros, o que pode ser um componente dos arranjos de emparelhamento de roteadores WAN e similares.
Operadores confiáveis
Os dispositivos foram carregados com credenciais corporativas potencialmente crackable ou diretamente reutilizáveis – incluindo logins de administradores, detalhes de VPN e chaves criptográficas – que permitiriam que os agentes mal-intencionados se tornassem entidades confiáveis e, assim, obtivessem acesso em toda a rede.
“Existem processos bem documentados para o descomissionamento adequado de hardware, e esta pesquisa mostra que muitas empresas não os estão seguindo rigorosamente ao preparar dispositivos para o mercado secundário de hardware”, disse Tony Anscombe, Evangelista Chefe de Segurança da ESET.
“Explorar uma vulnerabilidade ou spearphishing para credenciais é potencialmente um trabalho árduo. Mas nossa pesquisa mostra que há uma maneira muito mais fácil de colocar as mãos nesses dados e muito mais. Pedimos às organizações envolvidas no descarte de dispositivos, destruição de dados e revenda de dispositivos que analisem atentamente seus processos e garantam que estejam em conformidade com os mais recentes padrões do NIST para higienização de mídia”, acrescentou Anscombe.
Os roteadores desta pesquisa se originaram em organizações que vão desde empresas de médio porte até empresas globais em uma variedade de indústrias (data centers, escritórios de advocacia, provedores de tecnologia terceirizados, empresas de manufatura e tecnologia, empresas criativas e desenvolvedores de software).
Como parte do processo de descoberta, a ESET, sempre que possível, divulgou as descobertas para cada organização identificada – várias delas nomes familiares – colaborando para garantir que estivessem cientes dos detalhes potencialmente comprometidos por outras pessoas na cadeia de custódia dos dispositivos.
Algumas das organizações com informações comprometidas não responderam às repetidas tentativas de conexão da ESET, enquanto outras mostraram proficiência, lidando com o evento como uma violação de segurança completa.
As organizações são lembradas de verificar se estão usando um terceiro confiável e competente para descartar dispositivos, ou se estão tomando todas as precauções necessárias ao lidar com o descomissionamento.
Isso deve se estender de roteadores e discos rígidos anteriores a qualquer dispositivo que faça parte da rede. Muitas organizações nesta pesquisa provavelmente sentiram que estavam contratando fornecedores respeitáveis, mas seus dados ainda vazavam.
Com isso em mente, recomenda-se que as organizações sigam as diretrizes do fabricante para remover todos os dados de um dispositivo antes que ele saia fisicamente de suas instalações, o que é uma etapa simples que muitos funcionários de TI podem lidar.
As organizações são lembradas de tratar as notificações de divulgação com seriedade. Fazer o contrário pode deixá-los vulneráveis a uma dispendiosa violação de dados e danos significativos à reputação.
FONTE: HELPNET SECURITY