TM_273

6 27|4|2023 #273 Η ESET π αρουσίασε νέα έρευνα σχετικά με εταιρικές συσκευές δικτύων που αποσύρ- θηκαν και στη συνέχεια πουλήθηκαν σε δευτερογενή αγορά. Η εταιρεία εξέτασε τα δεδομένα διαμόρφωσης από 16 διαφορε- τικούς εταιρικούς routers και διαπίστωσε ότι πάνω από το 56% – εννέα routers – πε- ριείχαν ακόμα ευαίσθητα εταιρικά δεδομέ- να. Σε λάθος χέρια, αυτά τα δεδομένα είναι αρκετά για να πυροδοτήσουν μια κυβερνο- επίθεση που θα οδηγούσε σε παραβίαση δεδομένων, βάζοντας σε κίνδυνο την εται- ρεία, τους συνεργάτες και τους πελάτες της. Πιο συγκεκριμένα από τις εννέα συ- σκευές που ερευνήθηκαν: • Το 22% περιείχαν δεδομένα πελατών. • Το 33% περιείχαν δεδομένα που επέ- τρεπαν συνδέσεις τρίτων στο δίκτυο. • Το 44% είχε διαπιστευτήρια για σύνδε- ση σε άλλα δίκτυα ως έμπιστο μέρος. • Το 89% περιείχε αναλυτικά στοιχεία σύνδεσης για συγκεκριμένες εφαρμογές. • Το 89% περιείχε κλειδιά αυθεντικοποίη- σης router-to-router. • Το 100% περιείχε ένα ή περισσότερα από τα διαπιστευτήρια IPsec ή VPN ή κω- δικούς root. • Το 100% είχε επαρκή δεδομένα για την αξιόπιστη ταυτοποίηση του πρώην ιδιο- κτήτη/διαχειριστή. «Τα ευρήματά μας είναι εξαιρετικά ανη- συχητικά και θα πρέπει να μας αφυπνί- σουν», δήλωσε ο Cameron Camp, ερευ- νητής ασφαλείας της ESET που ηγήθηκε της έρευνας. «Θα περιμέναμε ότι οι με- σαίου και μεγάλου μεγέθους εταιρείες θα είχαν ένα αυστηρό σύνολο πρωτο- βουλιών ασφαλείας για την απόσυρση συσκευών, αλλά διαπιστώσαμε το αντί- θετο. Οι οργανισμοί πρέπει να είναι πολύ προσεκτικοί σχετικά με το τι παραμένει στις συσκευές που βγάζουν προς πώλη- ση, καθώς η πλειονότητα των συσκευών που πήραμε από τη δευτερογενή αγορά περιείχε ένα ψηφιακό πλάνο της εμπλε- κόμενης εταιρείας, συμπεριλαμβανομέ- νων, μεταξύ άλλων, βασικών πληροφο- ριών δικτύου, δεδομένων εφαρμογών, εταιρικών διαπιστευτηρίων και πληρο- φοριών σχετικά με συνεργάτες, προμη- θευτές και πελάτες», συνέχισε. Οι οργανισμοί συχνά ανακυκλώνουν τις παλαιές συσκευές μέσω τρίτων εταιρει- ών που είναι επιφορτισμένες με την επα- λήθευση της ασφαλούς καταστροφής ή ανακύκλωσης του ψηφιακού εξοπλι- σμού και της διάθεσης των δεδομένων που περιέχονται σε αυτόν. Είτε λόγω σφάλματος της εταιρείας ανα- κύκλωσης, είτε λόγω των διαδικασιών απόρριψης της εταιρείας, στους εταιρι- κούς routers βρέθηκε μια σειρά από δε- δομένα, μεταξύ των οποίων: Δεδομένα τρίτων: Η παραβίαση του δι- κτύου μιας εταιρείας μπορεί να εξαπλω- θεί στους πελάτες, τους συνεργάτες και άλλες επιχειρήσεις με τις οποίες μπορεί να συνδέονται. Αξιόπιστα μέρη: Τα έμπιστα μέρη (τα οποία θα μπορούσαν χρησιμοποιηθούν ως δευτερεύων φορέας επίθεσης) θα αποδέχονταν πιστοποιητικά και κρυπτο- γραφικά tokens που βρίσκονται σε αυτές τις συσκευές, επιτρέποντας μια πολύ πει- στική επίθεση adversary in the middle (AitM) με έμπιστα διαπιστευτήρια, ικανή να αποσπάσει εταιρικά μυστικά, με τα θύματα να μην το γνωρίζουν για μεγάλα χρονικά διαστήματα. Δεδομένα πελατών: Αυτό μπορεί να προκαλέσει πιθανά προβλήματα ασφά- λειας στους πελάτες, εάν ένας αντίπαλος είναι σε θέση να αποκτήσει συγκεκριμέ- νες πληροφορίες σχετικά με αυτούς. Ειδικές εφαρμογές: Οι συσκευές αυτές περιείχαν πληροφορίες των σημαντικό- τερων εφαρμογών που χρησιμοποιού- νται από συγκεκριμένους οργανισμούς, τόσο σε τοπικό επίπεδο όσο και στο νέφος. Οι εφαρμογές αυτές κυμαίνονται από το εταιρικό ηλεκτρονικό ταχυδρο- μείο έως ασφαλείς συνδέσεις πελατών, πληροφορίες για τη φυσική ασφάλεια κτιρίων, όπως προμηθευτές και τοπολο- γίες για κάρτες πρόσβασης και δίκτυα με κάμερες παρακολούθησης, καθώς και προμηθευτές και πλατφόρμες πωλήσε- ων και πελατών. Επιπλέον, οι ερευνητές της ESET μπόρεσαν να προσδιορίσουν σε ποιες θύρες και από ποιους κεντρι- κούς υπολογιστές επικοινωνούν αυτές οι εφαρμογές. Λόγω της λεπτομέρειας των εφαρμογών και των συγκεκριμένων εκδόσεων που χρησιμοποιήθηκαν σε ορισμένες περιπτώσεις, θα μπορούσαν να αξιοποιηθούν γνωστές ευπάθειες σε όλη την τοπολογία του δικτύου που ένας εισβολέας θα είχε ήδη χαρτογραφήσει. Εκτεταμένες πληροφορίες δρομολό- γησης: Η ESET βρήκε πλήρεις διατάξεις των εσωτερικών λειτουργιών διαφόρων οργανισμών, οι οποίες θα παρείχαν εκτε- ταμένες πληροφορίες τοπολογίας δικτύ- ου για εκμετάλλευση, εάν οι συσκευές έπεφταν στα χέρια ενός αντιπάλου. Οι δι- αμορφώσεις που ανακτήθηκαν περιείχαν επίσης τοπικές και διεθνείς τοποθεσίες απομακρυσμένων γραφείων και χειρι- στών, συμπεριλαμβανομένης της σχέσης τους με τα κεντρικά γραφεία – περισσό- τερα δεδομένα που θα ήταν εξαιρετικά πολύτιμα για πιθανούς αντιπάλους. Η σήραγγα IPsec μπορεί να χρησιμοποιη- θεί για τη σύνδεση αξιόπιστων δρομο- λογητών μεταξύ τους, η οποία μπορεί να αποτελεί συστατικό στοιχείο ρυθμίσεων ομότιμων WAN router. Έμπιστοι χειριστές: Οι συσκευές ήταν γεμάτες με δυνητικά ανακτήσιμα ή άμε- σα επαναχρησιμοποιήσιμα εταιρικά δι- απιστευτήρια – συμπεριλαμβανομένων των συνδέσεων διαχειριστή, των στοιχεί- ων VPN και των κρυπτογραφικών κλειδι- ών – που θα επέτρεπαν στους κακόβου- λους φορείς να αποκτήσουν πρόσβαση σε όλο το δίκτυο. Οι routers της έρευνας προέρχονταν από μεσαίες επιχειρήσεις έως μεγάλες πολυ- εθνικές που δραστηριοποιούνται σε δι- άφορους κλάδους (κέντρα δεδομένων, δικηγορικά γραφεία, πάροχοι τεχνολογί- ας, κατασκευαστικές εταιρείες, εταιρείες τεχνολογίας, δημιουργικά γραφεία και εταιρείες ανάπτυξης λογισμικού). Στο πλαίσιο της διαδικασίας, η ESET, όπου ήταν δυνατόν, γνωστοποίησε τα ευρήματα σε κάθε οργανισμό – αρκετοί από αυτούς ήταν γνωστές εταιρείες – για να διασφαλίσει ότι είχαν επίγνωση των λεπτομερειών που ενδεχομένως διακυ- βεύονταν από άλλους στην αλυσίδα φύ- λαξης των συσκευών. Ορισμένοι από τους οργανισμούς ήταν εξαιρετικά απρόθυμοι στις επανειλημ- μένες προσπάθειες της ESET να επικοι- νωνήσει μαζί τους, ενώ άλλοι έδειξαν την απαιτούμενη προσοχή αντιμετωπί- ζοντας το συμβάν ως μια ολοκληρωμένη παραβίαση της ασφάλειας. Υπενθυμίζεται ότι οι οργανισμοί πρέπει να χρησιμοποιούν ένα αξιόπιστο, αρμό- διο τρίτο μέρος για την απόρριψη των συσκευών ή να λαμβάνουν όλες τις απα- ραίτητες προφυλάξεις εάν χειρίζονται οι ίδιοι την απόσυρση. Αυτό θα πρέπει να επεκτείνεται πέρα από τους routers και τους σκληρούς δίσκους σε κάθε συ- σκευή που αποτελεί μέρος του δικτύου. Ανησυχητικά ευρήματα από την ESET