image

Onderzoek: veel gevoelige informatie op tweedehands zakelijke routers

woensdag 19 april 2023, 15:36 door Redactie, 7 reacties

Op tweedehands zakelijke routers die bedrijven en organisaties wegdoen is nog allerlei informatie te vinden waar een aanvaller gebruik van kan maken, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek (pdf). Voor het onderzoek werden achttien tweedehands routers van onder andere Cisco, Fortinet en Juniper aangeschaft die een belangrijke rol in het netwerk van hun vorige eigenaar speelden.

De tweedehands apparatuur bleek niet te zijn gewist en nog allerlei informatie over de vorige eigenaar te bevatten. Zo werd op alle routers informatie aangetroffen waarmee de vorige eigenaar was te identificeren, alsmede credentials voor IPsec en vpn, en gehashte root-wachtwoorden. Zestien van de achttien routers bleken router-to-router authentication keys te bevatten.

Op acht routers werden inloggegevens aangetroffen om als 'trusted party' met andere netwerken verbinding te maken. Vier routers bevatte klantgegevens. Volgens de onderzoekers laten hun bevindingen zien dat het belangrijk is afgedankte routers eerst goed te wissen, zodat er geen configuratiegegevens achterblijven. In het geval de router defect is wordt aangeraden die in zijn geheel te vernietigen.

Reacties (7)
19-04-2023, 16:55 door Anoniem
Ik denk dat de oorzaak van dit probleem in het niet goed op orde hebben van procedures zit. Dat is dan echt niet alleen voor routers een probleem. Dat zit hem dan in de blinde vlek die achter het ontbreken van de correcte procedure in de eerste plaats zit.
19-04-2023, 17:56 door Anoniem
wr er
reload

Is toch niet zo moeilijk?
19-04-2023, 21:02 door Anoniem
Door Anoniem: Ik denk dat de oorzaak van dit probleem in het niet goed op orde hebben van procedures zit. Dat is dan echt niet alleen voor routers een probleem. Dat zit hem dan in de blinde vlek die achter het ontbreken van de correcte procedure in de eerste plaats zit.
Dan is die blinde vlek de oorzaak.
19-04-2023, 21:13 door Anoniem
Goh, ze hebben weer een stagiair aan een voorspelbaar klusje gezet .
20-04-2023, 09:50 door Anoniem
Door Anoniem: wr er
reload

Is toch niet zo moeilijk?

Dat is toch helemaal afhankelijk hoe 'goed' de leverancier dit heeft geimplementeerd, als je je openwrt installeerd word ook een bepaald geheugen met configs niet gewist.
Volgens mij is het beste om eerst foute configuraties op te slaan en daarna pas een reset te doen.
20-04-2023, 10:16 door Anoniem
Dit is uiteraard geen representatief onderzoek. Als je tweedehands routers gaat kopen dan krijg je routers van bedrijven die denken "laten we onze oude router verkopen op marktpaats/ebay/whatever" en dat zijn natuurlijk niet de bedrijven waar men dingen in het algemeen goed voor elkaar heeft.
20-04-2023, 11:51 door Anoniem
Door Anoniem: wr er
reload

Is toch niet zo moeilijk?

Goh, je kent IOS .

Als je een aangesloten router hebt, en als junior network engineer de taak krijgt om de config te wissen is dit inderdaad wat je doet (op een Cisco IOS device ).

Nu ander scenario : bedrijf(je) heeft router beheer uitbesteed .
Router staat ergens en werkt .
Router wordt geupgrade/vervangen .

De werkende router wordt eruit getrokken, nieuwe erin.
De oude router gaat naar het magazijn.
En wordt dan een keer opgeruimd .

Oeps. Nu moet opeens iemand die magazijn beheer doet bedenken *dat* er een config op zou kunnen staan, en een netwerk engineer vinden, de router op diens buro gooien, en laten wipen .

Snap je dat het _daar_ eerder mis gaat dan dat de engineer die router beheer doet misschien niet zou weten hoe je een config wiped ?

Router wipen terwijl die nog dienst doet is tricky . Het _kan_ (bij cisco) , de write erase wiped de stored config, router werkt door , en bij poweroff is het ding leeg.
Die situatie moet niet heel lang duren als je het bij een vervanging gaat doen, want als de stroom er [eerder] onverwacht af gaat heb je een totale outage .
En - als je beheer goed ingericht hebt - is er een regelmatig proces om wijzigingen in de running config naar startup config te schrijven , om te voorkomen dat een change na een powercycle "zomaar" verdwenen is .
Dus zo'n pro-actieve wipe bij een aanstaande vervanging vergt dan wel veel coordinatie , want anders zet het 'copy run start' script de boel snel weer terug.

Next challenge is natuurlijk dat 'recovery' uit de flash van een "erased" config wellicht wel mogelijk is.

(en er zijn meer merken dan Cisco, allemaal met eigen gedrag omtrent config wipe/restore . )
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.