ハッカーは、再販された企業ルーターのデータを使用してネットワークを侵害する可能性があります

流通市場のエンタープライズ レベルのネットワーク機器には、ハッカーが企業環境への侵入や顧客情報の取得に使用できる機密データが隠されています。

使用済みの企業グレードのルーターをいくつか調べたところ、研究者は、それらのほとんどが廃棄プロセス中に不適切にワイプされ、その後オンラインで販売されたことを発見しました。

コアルーターの販売

サイバーセキュリティ企業 ESET の研究者は 18 台の使用済みコア ルーターを購入し、正常に機能していたルーターの半分以上で完全な構成データにアクセスできることを発見しました。

コア ルーターは、他のすべてのネットワーク デバイスを接続する大規模ネットワークのバックボーンです。複数のデータ通信インターフェイスをサポートし、最高速度で IP パケットを転送するように設計されています。

最初に、ESET の研究チームは、テスト環境をセットアップするためにいくつかの使用済みルーターを購入しましたが、それらが適切にワイプされておらず、ネットワーク構成データと以前の所有者を特定するのに役立つ情報が含まれていることがわかりました。

購入した機器には、Cisco (ASA 5500) から 4 台、Fortinet (Fortigate シリーズ) から 3 台、Juniper Networks (SRX シリーズ サービス ゲートウェイ) から 11 台のデバイスが含まれていました。

今週初めのレポートで、 Cameron CampとTony Anscombe は、1 つのデバイスが到着時に故障しており、テストから除外され、そのうちの 2 つが相互のミラーであり、評価結果では 1 つとしてカウントされたと述べています。

残りの 16 台のデバイスのうち、適切にワイプされたのは 5 台だけで、2 台だけが強化されたため、一部のデータへのアクセスがより困難になりました。

ただし、ほとんどの場合、所有者、ネットワークのセットアップ方法、および他のシステム間の接続に関する詳細の山である完全な構成データにアクセスすることができました.

企業ネットワーク デバイスでは、管理者はいくつかのコマンドを実行して、構成を安全にワイプしてリセットする必要があります。これがないと、ルーターをリカバリモードで起動して、セットアップ方法を確認できます。

ネットワークの秘密

研究者によると、一部のルーターは、顧客情報、ネットワークへのサードパーティ接続を許可するデータ、さらには「信頼できるパーティとして他のネットワークに接続するための資格情報」さえも保持していたとのことです。

さらに、完全な構成データを公開した 9 台のルーターのうち 8 台には、ルーター間の認証キーとハッシュも含まれていました。

企業秘密のリストは、ローカルまたはクラウドでホストされている機密アプリケーションの完全なマップにまで拡張されました。たとえば、Microsoft Exchange、Salesforce、SharePoint、Spiceworks、VMware Horizon、SQL などがあります。

このような広範なインサイダーの詳細は、通常、ネットワーク管理者やそのマネージャーなどの「高度な資格を持つ担当者」のために予約されていると研究者は説明しています.

この種の情報にアクセスできる敵対者は、検出されずにネットワークの奥深くに侵入する攻撃経路の計画を簡単に思いつくことができます。

ルーターで明らかになった詳細に基づいて、それらのいくつかは、大企業のネットワークを運用する管理された IT プロバイダーの環境にありました。

あるデバイスは、さまざまな分野 (教育、金融、医療、製造など) の何百ものクライアントのネットワークを処理するマネージド セキュリティ サービス プロバイダー (MSSP) に属していました。

調査結果に続いて、研究者は、ネットワーク デバイスを削除する前に適切にワイプすることの重要性を強調しています。企業は、自社のデジタル機器を安全に破壊および廃棄するための手順を整備する必要があります。

研究者はまた、この活動にサードパーティのサービスを使用することは必ずしも良い考えではないかもしれないと警告しています.調査結果をルーターの所有者に通知した後、彼らは会社がそのようなサービスを使用していたことを知りました。 「それは明らかに計画通りにはいきませんでした。」

ここでのアドバイスは、デバイス メーカーからの推奨事項に従って、潜在的に機密性の高いデータを機器から消去し、工場出荷時のデフォルト状態にすることです。