İkincil pazardaki kurumsal düzey ağ ekipmanı, bilgisayar korsanlarının kurumsal ortamları ihlal etmek veya müşteri bilgilerini almak için kullanabileceği hassas verileri gizler.
Kullanılmış birkaç kurumsal sınıf yönlendiriciye bakıldığında, araştırmacılar, çoğunun hizmetten çıkarma sürecinde yanlış bir şekilde silindiğini ve daha sonra çevrimiçi satıldığını buldular.
Siber güvenlik şirketi ESET'teki araştırmacılar, 18 kullanılmış çekirdek yönlendirici satın aldı ve tam yapılandırma verilerine düzgün çalışanların yarısından fazlasına erişilebileceğini buldular.
Çekirdek yönlendiriciler, diğer tüm ağ cihazlarını bağlarken büyük bir ağın omurgasıdır. Birden çok veri iletişim arayüzünü desteklerler ve IP paketlerini en yüksek hızlarda iletmek için tasarlanmıştır.
Başlangıçta, ESET araştırma ekibi bir test ortamı kurmak için birkaç kullanılmış yönlendirici satın aldı ve uygun şekilde silinmediklerini ve ağ yapılandırma verilerinin yanı sıra önceki sahiplerinin tanımlanmasına yardımcı olan bilgileri içerdiğini buldu.
Satın alınan ekipman, Cisco'dan dört cihaz (ASA 5500), üçü Fortinet'ten (Fortigate Serisi) ve 11'i Juniper Networks'ten (SRX Serisi Services Gateway) içeriyordu.
Bu haftanın başlarında bir raporda, Cameron Camp ve Tony Anscombe, bir cihazın varışta öldüğünü ve testlerden çıkarıldığını ve ikisinin birbirinin aynası olduğunu ve değerlendirme sonuçlarında bir olarak sayıldığını söylüyor.
Kalan 16 cihazdan sadece beşi uygun şekilde silindi ve sadece iki tanesi sertleştirildi, bu da verilerin bazılarına erişilmesini zorlaştırdı.
Bununla birlikte, çoğu için, sahibi hakkında bir ayrıntıya, ağın nasıl kurulduğunu ve diğer sistemler arasındaki bağlantılara erişmek mümkün oldu.
Kurumsal ağ cihazlarıyla, yöneticinin yapılandırmayı güvenli bir şekilde silmek ve sıfırlamak için birkaç komut çalıştırması gerekir. Bu olmadan, yönlendiriciler nasıl kurulduğunu kontrol eden bir kurtarma moduna önyüklenebilir.
Araştırmacılar, yönlendiricilerin bazılarının müşteri bilgilerini, ağa üçüncü taraf bağlantılarına izin veren verilerin ve hatta “diğer ağlara güvenilir bir taraf olarak bağlantı kurmak için kimlik bilgilerinin” tuttuğunu söylüyor.
Ayrıca, tam yapılandırma verilerini ortaya çıkaran dokuz yönlendiriciden sekizinde, yönlendirici-router kimlik doğrulama anahtarları ve karmalar içeriyordu.
Yerel veya bulutta barındırılan hassas uygulamaların haritalarını tamamlamak için genişletilmiş kurumsal sırların listesi. Bazı örnekler Microsoft Exchange, Salesforce, SharePoint, SpiceWorks, VMware Horizon ve SQL'dir.
“Uygulamaların ayrıntılı olması ve bazı durumlarda kullanılan belirli sürümler nedeniyle, bilinen istismarlar, bir saldırganın zaten eşleneceği ağ topolojisi boyunca dağıtılabilir” - ESET
Araştırmacılar, bu tür kapsamlı içeriden detaylar genellikle ağ yöneticileri ve yöneticileri gibi “yüksek düzeyde kimlik bilgileri olan personel” için ayrılmıştır.
Bu tür bilgilere erişimi olan bir düşman, onları fark edilmeyen ağın derinliklerine götürecek bir saldırı yolu için kolayca ortaya çıkabilir.
“Bu detay seviyesiyle, taklitçi ağ veya dahili ana bilgisayarlar bir saldırgan için çok daha basit olurdu, özellikle cihazlar genellikle VPN kimlik bilgileri veya diğer kolay çatlak kimlik doğrulama belirteçleri içerdiğinden” - ESET
Yönlendiricilerde ortaya çıkan ayrıntılara dayanarak, birçoğu büyük şirketlerin ağlarını işleten yönetilen BT sağlayıcılarının ortamlarında olmuştu.
Bir cihaz, çeşitli sektörlerdeki yüzlerce müşteri (örneğin eğitim, finans, sağlık, üretim) için ağları işleyen yönetilen bir güvenlik hizmetleri sağlayıcısına (MSSP) aitti.
Bulgularını takiben, araştırmacılar, onlardan kurtulmadan önce ağ cihazlarının uygun şekilde silinmesinin önemini vurgulamaktadır. Şirketler, dijital ekipmanlarının güvenli bir şekilde imha edilmesi ve imha edilmesi için prosedürlere sahip olmalıdır.
Araştırmacılar ayrıca bu etkinlik için üçüncü bir partili hizmet kullanmanın her zaman iyi bir fikir olmayabileceği konusunda uyarıyorlar. Bir yönlendiriciyi bulgularından bir yönlendiriciyi bilgilendirdikten sonra, şirketin böyle bir hizmet kullandığını öğrendiler. “Bu açıkça planlandığı gibi gitmedi.”
Buradaki tavsiye, potansiyel olarak hassas verilerin ekipmanını temizlemek ve fabrika varsayılan durumuna getirmek için cihaz üreticisinin önerilerini izlemektir.
US, İngiltere, Cisco yönlendiricilerinde özel kötü amaçlı yazılım kullanarak Govt Hacker'ları uyarıyor
RCE saldırılarına maruz kalan 19.000'den fazla yaşam sonu Cisco yönlendiricisi
Cisco, EOL yönlendiricilerinde kamuya açık istismar ile auth bypass hatasını uyarıyor
TP-Link Archer Wifi Yönlendirici Kususu Mirai kötü amaçlı yazılım tarafından kullanıldı
WiFi Protokolü Kusur, saldırganların ağ trafiğini ele geçirmesine izin verir
Kaynak: Bleeping Computer