大量二手企业级路由器暗藏敏感数据

安全研究人员发现二手市场上的企业级网络设备暗藏很多敏感数据,黑客可以利用这些数据来入侵公司网络或获取客户信息。

核心路由器是大型企业网络的骨干设备,用于连接所有其他网络设备,支持多个数据通信接口,是企业IP网络和应用的高速枢纽,也是黑客觊觎的主要目标之一。

近日,网络安全公司ESET的研究人员检查了几款从在线平台上购买的二手企业级路由器(编者:在国内二手交易市场上仅需数百元至数千元就可以买到多种品牌的二手企业级路由器),发现其中大多数在报废流程中没有被彻底擦除数据。

二手核心路由器暗藏敏感数据

网络安全公司ESET的研究人员在线购买了18台二手核心路由器,发现仍可正常使用的设备中一半以上保存着可访问的完整配置数据。

最初,ESET研究团队购买这些二手路由器用于设置测试环境,结果发现这些路由器没有被正确擦除,保留了网络配置数据以及可用于识别以前所有者的信息。

研究人员购买的设备包括思科(ASA 5500)的4台设备,Fortinet(Fortigate系列)的3台设备和来自瞻博网络(SRX系列服务网关)的11台设备。

在本周早些时候的一份报告中,Cameron Camp和Tony Anscombe表示,一台设备在抵达时已无法正常工作,被从测试中淘汰,其中两台设备是彼此的镜像,在评估结果中算作一个。

在剩下的16台设备中,只有5台设备被正确擦除,只有2台设备得当安全强化(其中保存的配置数据访问难度较大)。

其余9台设备没有被正确擦除或强化,研究人员可以轻松访问前用户配置网络和系统连接的完整配置数据,包括所有者信息。

公司网络设备的报废流程中,管理员通常需要运行一些命令来安全地擦除配置并重置配置。如果没有执行上述措施,第三方可通过恢复模式来从二手市场的核心路由器中访问配置数据。

处于管理盲区的“硬件泄露”

研究人员表示,一些路由器保留了客户信息,允许第三方连接到网络的数据,甚至是“作为受信任方连接到其他网络的凭据”。

此外,在上述测试中,保留了完整配置数据的9台路由器中有8台还保存了路由器到路由器身份验证密钥和哈希。公司机密列表扩展到本地或云中托管的敏感应用程序的完整映射。例如:Microsoft Exchange、Salesforce、SharePoint、Spiceworks、VMware Horizon和SQL等。

“攻击者可根据(路由器泄露的)应用程序粒度和特定版本,在整个网络拓扑中部署特定的漏洞利用。”-ESET

研究人员解释说,如此详细的内部信息通常只有“高级权限人员”才能访问,例如网络管理员及其经理。

黑客可通过二手核心路由器中的这些敏感信息轻松制定攻击路径和计划,深入网络而不被发现。

“有了如此详细的网络信息,模拟网络或内部主机对于攻击者来说会简单得多,特别是二手路由器设备通常还包含VPN凭据或其他容易破解的身份验证令牌”-ESET

更糟糕的是,通过分析二手路由器中的信息,研究人员发现其中一些路由器来自托管IT提供商的环境,这些托管提供商运营着(很多)大公司的网络。

其中一台设备甚至来自托管安全服务提供商(MSSP),该提供商为各个领域(例如教育、金融、医疗、制造业)的数百个客户处理网络。

最后,研究人员强烈建议企业在淘汰网络设备之前正确擦除数据。公司应该制定并严格执行安全销毁和处置数字设备的流程,彻底清理设备中的潜在敏感数据,将其恢复为出厂默认状态。

研究人员还警告说,使用第三方服务进行设备销毁或擦除可能并不是个好主意。因为当ESET通知路由器原用户时发现,很多公司使用了第三方服务(但设备并未被正确擦除)。

前一篇关于对《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》公开征求意见的通知
后一篇首个利用K8s RBAC的大规模挖矿活动