安全資訊

設備退役應當根據組織內的廢棄清理原則和策略，進(jìn)行廢棄、清除、銷(xiāo)毀等工作。在我們的等級保護工作中，最后一個(gè)階段就是“設備遷移或廢棄”，有些單位感覺(jué)這個(gè)系統廢棄了就仍在那里就行了，或者沒(méi)有太多人注意這塊的安全風(fēng)險，往往不理解這塊工作的重要性，正好最近國外就有個(gè)案例，正是因廢棄路由器未清除引起黑客攻擊的案例。

根據網(wǎng)絡(luò )安全公司 ESET 進(jìn)行的一項分析，丟棄的企業(yè)路由器通常沒(méi)有被正確擦除并存儲可能對惡意黑客非常有用的秘密。

該公司收購了18臺Cisco、Fortinet和Juniper Networks的二手企業(yè)路由器，發(fā)現包括核心路由器在內的9臺設備配置數據完整。只有五臺設備被正確擦除。  

對于這九臺路由器，ESET 能夠根據設備上仍然存在的數據高度自信地確定它們之前的所有者是誰(shuí)。這份名單包括一家跨國科技公司和一家電信公司，它們都擁有 10,000 多名員工和超過(guò) 10 億美元的收入。

在這些路由器上發(fā)現的易于訪(fǎng)問(wèn)和敏感的公司信息還包括 IPsec 或 VPN 憑據或哈希根密碼、客戶(hù)信息、允許第三方連接到網(wǎng)絡(luò )的數據、用于連接到其他網(wǎng)絡(luò )的憑據、路由器到路由器的身份驗證密鑰、和特定應用程序的連接細節。 

ESET 警告說(shuō)，許多暴露的信息可能對計劃攻擊設備原始所有者的威脅行為者非常有用。

在路由器上找到的網(wǎng)絡(luò )信息類(lèi)型通常僅供組織內有限數量的個(gè)人使用。這些設備還存儲了用于訪(fǎng)問(wèn)云應用程序的信息以及防火墻規則。

ESET 解釋說(shuō)：“有了這種級別的詳細信息，冒充網(wǎng)絡(luò )或內部主機對于攻擊者來(lái)說(shuō)會(huì )簡(jiǎn)單得多，特別是因為這些設備通常包含 VPN 憑證或其他容易破解的身份驗證令牌。”

路由器暴露的另一條重要信息與組織的安全性有關(guān)。設備的安全配置可以讓威脅行為者推斷受害者的整體安全級別。

“我們還注意到，值得注意的是，在為更大的組織運營(yíng)網(wǎng)絡(luò )的托管 IT 提供商退役后，獲得了多臺設備，因此受影響的組織通常不知道他們現在可能由于第三方的數據泄露而容易受到攻擊派對，”ESET 說(shuō)。

“這似乎是一個(gè)巨大的安全攻擊面，可能對大量目標組織敞開(kāi)大門(mén)。兩家這樣的 IT 公司（其中一家是 MSSP）為教育、金融、醫療保健、制造和專(zhuān)業(yè)服務(wù)等各個(gè)領(lǐng)域的數百名客戶(hù)管理網(wǎng)絡(luò )，”它補充道。

這家網(wǎng)絡(luò )安全公司試圖聯(lián)系受測路由器的前任所有者，警告他們潛在的風(fēng)險。三個(gè)組織完全忽略了 ESET。 

有趣的是，受影響組織的一位代表表示，他們已經(jīng)簽訂了專(zhuān)門(mén)的處置服務(wù)合同，得知調查結果后感到“震驚”。 

ESET 的完整報告包含安全處置路由器的建議，指出在大多數情況下，使用制造商提供的功能可以輕松擦除設備。 

編譯自：安全周刊