Einfallstor Equipment
Führt Ihr alter Router Sie ins Verderben?
Foto: jeerachon - shutterstock.com
Das aktuelle Whitepaper "How I could've stolen your corporate secrets for 100$" (PDF) hält keine guten Nachrichten bereit: Enterprise-Router sind auf dem Gebrauchtmarkt günstig zu bekommen und die Chancen stehen offenbar nicht schlecht, dass auf dem Equipment noch Daten vorhanden sind, die Auskunft über Netzwerke, Schwachstellen, kryptografische Schlüssel und Anmeldeinformationen geben können.
"Wenn kritische und sensible Konfigurationsdaten des ursprünglichen Besitzers oder Betreibers für den Käufer zugänglich sind, können diese missbraucht werden", konstatieren die Autoren des Whitepapers - IT-Sicherheitsforscher Cameron Camp und Tony Anscombe, Chief Security Evangelist beim Sicherheitsanbieter Eset.
Für ihre Untersuchungen kauften die beiden 18 gebrauchte Enterprise-Router und untersuchten diese auf noch vorhandene Daten. Dabei fanden sie unter anderem:
Admin-Kennwörter,
Maps bestimmter Applikationen,
Daten, die Dritten den Zugang zu Unternehmensnetzwerken ermöglichen,
sowie ausreichend Informationen, um die Firmen zu identifizieren, die das Equipment einst verwendet haben.
Darüber hinaus enthielten die ausgemusterten Router in einigen Fällen auch "Netzwerkstandorte und Informationen über Cloud-Anwendungen, die in bestimmten Remote-Rechenzentren gehostet wurden - inklusive der Ports oder Access-Control-Mechanismen, die zum Zugriff nötig waren", wie die Sicherheitsforscher schreiben. "Bei diesem Detailgrad ist es für Angreifer ein Leichtes, sich als Netzwerk- oder interner Host auszugeben, zumal die Geräte oft VPN-Zugangsdaten oder andere leicht zu knackende Authentifizierungs-Token enthalten."
"Betroffene Organisationen hatten keine Ahnung"
Die Router hatten die Sicherheitsexperten alle zuvor legal über Gebrauchthändler erworben. Bei den Devices handelt es sich um:
4 Exemplare aus Ciscos ASA-5500-Serie,
3 aus der Fortigate-Serie von Fortinet, sowie
11 Service-Gateways der SRX-Serie von Juniper Networks.
Um die Geräte zu untersuchen, wurden weder Forensik-Tools noch Data-Recovery-Lösungen eingesetzt. Auch die Gehäuse der Devices öffneten die Forscher nicht. Trotz alledem konnten sie Informationen wiederherstellen, die für kriminelle Hacker potenziell sehr wertvoll wären und zwar sowohl für Social-Engineering-Attacken, als auch aus rein technischer Perspektive. Neun von insgesamt 18 angekauften, gebrauchten Routern enthielten demnach noch vollständige Konfigurationsdaten, mit deren Hilfe die Sicherheitsforscher unter anderem früheren Besitzer ermitteln konnten. Die betreffenden Unternehmen werden nicht namentlich im Whitepaper genannt. Darunter sollen sich jedoch unter anderem ein Technologieunternehmen und eine große Silicon-Valley-Softwareschmiede befinden.
Wie die Forscher im Rahmen des Whitepapers offenbaren, sei offenbar mehr als einer der ausgemusterten Router von Managed-Services-Anbietern in Unternehmensnetzwerken installiert, dann entfernt und inklusive der darauf befindlichen Daten weiterverkauft worden. "Die betroffenen Organisationen hatten oft keine Ahnung, dass sie nun aufgrund dieses durch Dritte verursachten Datenlecks angreifbar sind", stellen die Security-Profis fest. Entsprechend "not amused" waren die betreffenden Unternehmen auch gewesen, nachdem sie von Camp und Anscombe kontaktiert worden seien. "Einige waren zudem überrascht zu erfahren, dass ihr ehemaliges Gerät immer noch existiert. Denn sie hatten dafür bezahlt, das Equipment vernichten zu lassen", ergänzen die Autoren.
Darunter zum Beispiel ein mittelständisches Fertigungsunternehmen, bei dem die vorhandenen Daten über diverse Unternehmensspezifika - etwa die Standorte der Rechenzentren inklusive IP-Adressen - Auskunft gaben. "Anhand dieser Informationen könnten Angreifer kritische Einblicke in geschützte Prozesse erhalten, die für das Unternehmen von unschätzbarem Wert sein könnten", erklären die Sicherheitsprofis. In einer Zeit, in der potenzielle Konkurrenten Forschungsergebnisse, Produktdesigns und anderes geistiges Eigentum digital stehlen, um sich selbst einen Wettbewerbsvorteil zu verschaffen, könne so etwas drastische finanzielle Auswirkungen haben.
#ESETresearch published investigation into corporate network devices that were disposed of and sold on the secondary market. After looking at configuration data from 16 distinct network devices, we found that over 56% – nine routers – contained sensitive company data.
— ESET Research (@ESETresearch) April 18, 2023
Of the nine…
Das Problem sei jedoch nicht die Schuld der Router-Hersteller, befanden die Forscher: "Einige Geräte verfügten über bessere Standard-Sicherheitseinstellungen, die den Zugriff auf bestimmte Daten erschwerten. Aber alle Devices boten einstellbare Optionen, um einen Leak von 'Restdaten' zu verhindern. Einstellungen, die kostenlos und relativ einfach zu implementieren gewesen wären, wenn die früheren Besitzer oder Betreiber gewusst hätten, dass sie aktiviert werden sollten - oder sich darum gekümmert hätten."
Anhand der ausgemusterten Geräte war es Camp und Anscombe auch möglich, Rückschlüsse auf die allgemeine Sicherheitslage der einzelnen Unternehmen zu ziehen. Die Erkenntnisse waren demnach überraschend: "Man würde erwarten, dass ein großes, multinationales Unternehmen über sehr strukturierte, auf Standards basierende, umfassende Sicherheitsinitiativen verfügt, die sich in den Konfigurationen seiner Geräte widerspiegeln. Das war allerdings nicht immer der Fall."
Das Problem mit unsachgemäß ausgemusterten Devices sei allerdings nicht auf Router beschränkt, wie die Forscher schreiben: "Alle Arten von Festplatten und Wechseldatenträgern auf dem Gebrauchtmarkt wurden bereits untersucht und enthielten sensible Daten der Vorbesitzer. Speziell bei IoT-Geräten werden noch mehr Daten aus dem gesamten Unternehmensumfeld gesammelt. Sollte es Angreifern gelingen, solche Devices auszunutzen, können sie sich sensible Unternehmensdaten auf dem Gebrauchtmarkt organisieren und sie anschließend entweder weiterverkaufen oder selbst für Kompromittierungen nutzen."
Router sicher ausmustern - so geht's
Um zu vermeiden, dass ausgemusterte Router und anderes Equipment zum Daten-Leak führen, empfehlen die Experten:
Löschen Sie Daten auf den Devices nach Anweisung der Hersteller und überprüfen Sie anschließend, ob wirklich alle Daten entfernt wurden.
Um letztgenanntes sicherzustellen, empfiehlt es sich, interne Festplatten und andere Speichermeiden mit entsprechenden Forensik-Tools zu untersuchen.
Sind Drittanbieter in die Security-Chain eingebunden, ist besondere Vorsicht angesagt. Auch MSPs mit gutem Ruf setzen möglicherweise selbst auf unbekannte Dritte, wenn es darum geht, Geräte zu installieren, zu warten oder zu dekommissionieren.
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
(fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.