Спеціалісти ESET знайшли корпоративні таємниці на вживаних роутерах

Спеціалісти ESET знайшли корпоративні таємниці на вживаних роутерах

Компанія ESET оприлюднила нове дослідження пристроїв корпоративної мережі, які були продані на вторинному ринку. Переглянувши дані конфігурації 16 різних мережевих пристроїв, спеціалісти ESET виявили, що понад 56%, а саме дев’ять роутерів, містили конфіденційні дані компаній.

З дев’яти роутерів з даними конфігурації:

  • 22% містили дані клієнтів
  • 33% мали дані, які дозволяли стороннє підключення до мережі
  • 44% містили облікові дані для підключення до інших мереж як довіреної сторони
  • 89% мали деталі про підключення для певних додатків
  • 89% містили ключі автентифікації між роутерами
  • 100% мали один або кілька облікових даних IPsec або VPN або root-паролів
  • 100% мали достатньо даних для достовірної ідентифікації колишнього власника/оператора.

Організаціям потрібно розуміти, що залишається на пристроях, які вже непотрібні, оскільки більшість пристроїв, які ми отримали на вторинному ринку, містили цифровий план компанії, включаючи інформацію про основну мережу, дані додатків, корпоративні облікові дані та інформацію про партнерів, постачальників і клієнтів, зазначив розповідає Кемерон Кемп, дослідник ESET.

Організації часто утилізують застарілу техніку через сторонні компанії, які відповідають за перевірку безпечного знищення або переробки цифрового обладнання та утилізацію даних на ньому. Однак через помилки таких організацій чи через недосконалі внутрішні процеси утилізації самих компаній, на роутерах було знайдено низку даних, зокрема:

  • Дані третіх сторін: як і в реальних кібератаках, злам мережі однієї компанії може поширитися на її клієнтів, партнерів та інші пов’язані компанії.
  • Дані клієнтів: у деяких випадках роутери вказують на внутрішні або зовнішні сховища інформації з конкретною інформацією про клієнтів, що у разі отримання доступу зловмисників до цієї інформації може спричини проблеми безпеки.
  • Конкретні додатки: у конфігураціях пристроїв виявлено повні карти основних платформ додатків, які використовуються окремими організаціями, як локально, так і в хмарі. Серед цих додатків – корпоративна електронна пошта, довірені клієнтські тунелі, програми для фізичної безпеки будівель тощо. Крім цього, дослідники ESET змогли визначити, через які порти та з яких хостів ці програми з’єднуються. Завдяки деталізації додатків і конкретних версій, які використовуються в деяких випадках, кіберзлочинці могли б використати відомі уразливості в мережі.
  • Довірені оператори: на пристрої було завантажено корпоративні облікові дані, які потенційно можна було зламати або безпосередньо використовувати багаторазово, включаючи дані для входу адміністратора, деталі VPN і криптографічні ключі, які дозволяли б зловмисникам безперешкодно отримувати доступ у мережі.

Тоні Анскомб, головний спеціаліст ESET із безпеки, додав, що використання уразливості або виманювання облікових даних є потенційно складним процесом для кіберзлочинців. Але це дослідження показує, що є набагато простіший спосіб отримати ці дані.

Роутери в цьому дослідженні належали різним організаціям – від середнього бізнесу до великих підприємств у різних галузях (центри обробки даних, юридичні фірми, сторонні постачальники технологій, виробничі та технологічні компанії, а також розробники програмного забезпечення). У рамках процесу виявлення спеціалісти ESET, де це було можливо, ділилися висновками з кожною ідентифікованою організацією.

Тож організаціям потрібно переконатися, що вони використовують перевірену та компетентну компанію для утилізації пристроїв або вживають усіх необхідних запобіжних заходів у разі самостійного виведення з експлуатації. Це стосується на лише роутерів та жорстких дисків, а й будь-якого пристрою, який є частиною мережі. Зважаючи на це, організаціям рекомендується дотримуватися вказівок виробника щодо видалення всіх даних із пристрою перед тим, як пристрій залишить межі корпоративної мережі.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *