Onderzoek: veel gevoelige informatie op tweedehands zakelijke routers
Op tweedehands zakelijke routers die bedrijven en organisaties wegdoen is nog allerlei informatie te vinden waar een aanvaller gebruik van kan maken, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek (pdf). Voor het onderzoek werden achttien tweedehands routers van onder andere Cisco, Fortinet en Juniper aangeschaft die een belangrijke rol in het netwerk van hun vorige eigenaar speelden.
De tweedehands apparatuur bleek niet te zijn gewist en nog allerlei informatie over de vorige eigenaar te bevatten. Zo werd op alle routers informatie aangetroffen waarmee de vorige eigenaar was te identificeren, alsmede credentials voor IPsec en vpn, en gehashte root-wachtwoorden. Zestien van de achttien routers bleken router-to-router authentication keys te bevatten.
Op acht routers werden inloggegevens aangetroffen om als 'trusted party' met andere netwerken verbinding te maken. Vier routers bevatte klantgegevens. Volgens de onderzoekers laten hun bevindingen zien dat het belangrijk is afgedankte routers eerst goed te wissen, zodat er geen configuratiegegevens achterblijven. In het geval de router defect is wordt aangeraden die in zijn geheel te vernietigen.
reload
Is toch niet zo moeilijk?
Dat is toch helemaal afhankelijk hoe 'goed' de leverancier dit heeft geimplementeerd, als je je openwrt installeerd word ook een bepaald geheugen met configs niet gewist.
Volgens mij is het beste om eerst foute configuraties op te slaan en daarna pas een reset te doen.
reload
Is toch niet zo moeilijk?
Goh, je kent IOS .
Als je een aangesloten router hebt, en als junior network engineer de taak krijgt om de config te wissen is dit inderdaad wat je doet (op een Cisco IOS device ).
Nu ander scenario : bedrijf(je) heeft router beheer uitbesteed .
Router staat ergens en werkt .
Router wordt geupgrade/vervangen .
De werkende router wordt eruit getrokken, nieuwe erin.
De oude router gaat naar het magazijn.
En wordt dan een keer opgeruimd .
Oeps. Nu moet opeens iemand die magazijn beheer doet bedenken *dat* er een config op zou kunnen staan, en een netwerk engineer vinden, de router op diens buro gooien, en laten wipen .
Snap je dat het _daar_ eerder mis gaat dan dat de engineer die router beheer doet misschien niet zou weten hoe je een config wiped ?
Router wipen terwijl die nog dienst doet is tricky . Het _kan_ (bij cisco) , de write erase wiped de stored config, router werkt door , en bij poweroff is het ding leeg.
Die situatie moet niet heel lang duren als je het bij een vervanging gaat doen, want als de stroom er [eerder] onverwacht af gaat heb je een totale outage .
En - als je beheer goed ingericht hebt - is er een regelmatig proces om wijzigingen in de running config naar startup config te schrijven , om te voorkomen dat een change na een powercycle "zomaar" verdwenen is .
Dus zo'n pro-actieve wipe bij een aanstaande vervanging vergt dan wel veel coordinatie , want anders zet het 'copy run start' script de boel snel weer terug.
Next challenge is natuurlijk dat 'recovery' uit de flash van een "erased" config wellicht wel mogelijk is.
(en er zijn meer merken dan Cisco, allemaal met eigen gedrag omtrent config wipe/restore . )
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
