企業(yè)因未清除廢棄路由器而遭受黑客攻擊
設(shè)備退役應(yīng)當(dāng)根據(jù)組織內(nèi)的廢棄清理原則和策略,進(jìn)行廢棄、清除、銷毀等工作。在我們的等級(jí)保護(hù)工作中,最后一個(gè)階段就是“設(shè)備遷移或廢棄”,有些單位感覺這個(gè)系統(tǒng)廢棄了就仍在那里就行了,或者沒(méi)有太多人注意這塊的安全風(fēng)險(xiǎn),往往不理解這塊工作的重要性,正好最近國(guó)外就有個(gè)案例,正是因廢棄路由器未清除引起黑客攻擊的案例。
根據(jù)網(wǎng)絡(luò)安全公司 ESET 進(jìn)行的一項(xiàng)分析,丟棄的企業(yè)路由器通常沒(méi)有被正確擦除并存儲(chǔ)可能對(duì)惡意黑客非常有用的秘密。
該公司收購(gòu)了18臺(tái)Cisco、Fortinet和Juniper Networks的二手企業(yè)路由器,發(fā)現(xiàn)包括核心路由器在內(nèi)的9臺(tái)設(shè)備配置數(shù)據(jù)完整。只有五臺(tái)設(shè)備被正確擦除。
對(duì)于這九臺(tái)路由器,ESET 能夠根據(jù)設(shè)備上仍然存在的數(shù)據(jù)高度自信地確定它們之前的所有者是誰(shuí)。這份名單包括一家跨國(guó)科技公司和一家電信公司,它們都擁有 10,000 多名員工和超過(guò) 10 億美元的收入。
在這些路由器上發(fā)現(xiàn)的易于訪問(wèn)和敏感的公司信息還包括 IPsec 或 VPN 憑據(jù)或哈希根密碼、客戶信息、允許第三方連接到網(wǎng)絡(luò)的數(shù)據(jù)、用于連接到其他網(wǎng)絡(luò)的憑據(jù)、路由器到路由器的身份驗(yàn)證密鑰、和特定應(yīng)用程序的連接細(xì)節(jié)。
ESET 警告說(shuō),許多暴露的信息可能對(duì)計(jì)劃攻擊設(shè)備原始所有者的威脅行為者非常有用。
在路由器上找到的網(wǎng)絡(luò)信息類型通常僅供組織內(nèi)有限數(shù)量的個(gè)人使用。這些設(shè)備還存儲(chǔ)了用于訪問(wèn)云應(yīng)用程序的信息以及防火墻規(guī)則。
ESET 解釋說(shuō):“有了這種級(jí)別的詳細(xì)信息,冒充網(wǎng)絡(luò)或內(nèi)部主機(jī)對(duì)于攻擊者來(lái)說(shuō)會(huì)簡(jiǎn)單得多,特別是因?yàn)檫@些設(shè)備通常包含 VPN 憑證或其他容易破解的身份驗(yàn)證令牌。”
路由器暴露的另一條重要信息與組織的安全性有關(guān)。設(shè)備的安全配置可以讓威脅行為者推斷受害者的整體安全級(jí)別。
“我們還注意到,值得注意的是,在為更大的組織運(yùn)營(yíng)網(wǎng)絡(luò)的托管 IT 提供商退役后,獲得了多臺(tái)設(shè)備,因此受影響的組織通常不知道他們現(xiàn)在可能由于第三方的數(shù)據(jù)泄露而容易受到攻擊派對(duì),”ESET 說(shuō)。
“這似乎是一個(gè)巨大的安全攻擊面,可能對(duì)大量目標(biāo)組織敞開大門。兩家這樣的 IT 公司(其中一家是 MSSP)為教育、金融、醫(yī)療保健、制造和專業(yè)服務(wù)等各個(gè)領(lǐng)域的數(shù)百名客戶管理網(wǎng)絡(luò),”它補(bǔ)充道。
這家網(wǎng)絡(luò)安全公司試圖聯(lián)系受測(cè)路由器的前任所有者,警告他們潛在的風(fēng)險(xiǎn)。三個(gè)組織完全忽略了 ESET。
有趣的是,受影響組織的一位代表表示,他們已經(jīng)簽訂了專門的處置服務(wù)合同,得知調(diào)查結(jié)果后感到“震驚”。
ESET 的完整報(bào)告包含安全處置路由器的建議,指出在大多數(shù)情況下,使用制造商提供的功能可以輕松擦除設(shè)備。
編譯自:安全周刊