Аналитики из компании ESET обнаружили, что после покупки подержанного маршрутизатора, на устройстве нередко можно обнаружить забытые конфиденциальные данные. Такие данные могут использоваться для проникновения в корпоративные среды или получения информации о клиентах.
Это исследование началось с того, что компания ESET приобрела несколько б/у маршрутизаторов для создания тестовой среды, но оказалось, что купленные устройства не были очищены должным образом и до сих пор содержат данные о конфигурации сети, а также информацию, позволяющую идентифицировать их предыдущих владельцев.
В числе приобретенного оборудования было четыре устройства Cisco (ASA 5500), три Fortinet (серия Fortigate) и 11 девайсов Juniper Networks (SRX Series Services Gateway).
В общей сложности исследователи приобрели с рук 18 бывших в употреблении устройств корпоративного уровня. Выяснилось, что данные конфигурации по-прежнему доступны более чем на половине из них, и они все еще актуальны.
Одно устройство оказалось неработающим (после чего его исключили из испытаний), а еще два являлись зеркалами друг друга, и в результате их посчитали как одно. Из оставшихся 16 устройств только 5 были очищены должным образом и только 2 имели хоть какую-то защиту, затруднявшую доступ к некоторым данным.
Увы, в большинстве случаев на устройствах можно было получить доступ к полным данным конфигурации, то есть узнать множество подробностей о бывшем владельце, о том, как он настроил сеть, а также о соединениях между другими системами.
Хуже того, некоторые из маршрутизаторов хранили даже информацию о клиентах, данные, которые позволяли постороннему подключиться к сети, и даже «учетные данные для подключения к другим сетям в качестве доверенной стороны».
Кроме того, 8 из 9 маршрутизаторов, которые раскрывали полные данные конфигурации, также содержали ключи и хеши для аутентификации между маршрутизаторами. В итоге список корпоративных секретов расширялся до полной «карты» важных приложений, размещенных локально или в облаке (включая Microsoft Exchange, Salesforce, SharePoint, Spiceworks, VMware Horizon и SQL).
«С таким уровнем детализации злоумышленнику будет гораздо проще выдать себя за сетевые или внутренние узлы, тем более что на устройствах часто хранятся учетные данные VPN или другие легко компрометируемые токены аутентификации», — пишут эксперты.
Также, судя по данным, обнаруженным в купленных маршрутизаторах, некоторые из них раньше работали в средах managed-провайдеров, которые обслуживают сети крупных компаний. К примеру, один девайс и вовсе принадлежал поставщику MSSP (Managed Security Service Provider), который обслуживал сети сотен клиентов в самых разных отраслях (образование, финансы, здравоохранение, производство и так далее).
Приводя этот яркий пример, исследователи в очередной раз напоминают, как важно правильно очищать сетевые устройства перед продажей. В компаниях должны существовать процедуры безопасного уничтожения и утилизации цифрового оборудования. Также эксперты отмечают, что использование сторонних сервисов для этих нужд — не всегда хорошая идея. Дело в том, что уведомив одного из бывших владельцев устройств о проблеме, исследователи узнали, что для утилизации оборудования компания пользовалась услугами именно такого стороннего сервиса. «Что-то явно пошло не по плану», — резюмируют аналитики.
