众所周知,原机主在将智能手机或笔记本电脑转售或送给别人之前,应该清除掉里面的数据。毕竟,设备中有太多有价值的个人数据,应该由原机主控制。企业及其他机构需要采取同样的做法,从PC、服务器和网络设备中删除掉信息,以免落入坏人之手。不过,在下周于旧金山召开的RSA安全大会上,来自安全公司ESET的研究人员将展示调查结果,表明他们买来用于测试的二手企业路由器中有一半以上完全没有被原机主擦除掉数据。这些设备含有关于它们所属机构的大量网络信息、凭据和机密数据。
研究人员购买了18只不同型号的二手路由器,这些路由器来自三大主流厂商:思科、飞塔和瞻博网络。其中9只处于与原机主丢弃时一样的状态,完全可以访问,只有5只采取了适当的数据擦除操作。2只经过加密,1只已坏掉,还有1只是另一个设备的镜像副本。
所有9只未受保护的设备都含有相应组织的VPN的凭据、另一项安全网络通信服务的凭据或经过哈希处理的根管理员密码。所有这些设备都含有足够多的身份识别数据,可以确定路由器的原机主或运营者是谁。
9只未受保护的设备中有8只含有路由器到路由器的身份验证密钥以及有关路由器如何连接到原机主使用的特定应用程序的信息。4只设备泄露了连接到其他组织网络的凭据,比如受信任的合作伙伴、合作者或其他第三方。其中3只含有关于组织如何作为第三方连接到原机主的网络的信息。还有2只直接含有客户数据。
领导这个研究项目的ESET安全研究员Cameron Camp说:“核心路由器触及组织中的一切,因此我了解相应组织的所有应用程序和特征,这使得冒充这家组织变得非常容易。在一个案例中,这一家大型组织拥有关于一家非常知名的会计师事务所的特权信息,并与他们有直接合作关系。对我来说,这正是情况开始变得真正可怕的地方,因为我们是研究人员,我们是来帮忙的,但其余那些路由器的安全状况又如何呢?”
重大危险在于,这些设备上的大量信息对于网络犯罪分子、甚至政府撑腰的黑客来说都颇具价值。公司应用程序登录信息、网络凭据和加密密钥在暗网市场和犯罪论坛上都能卖出高价。攻击者还可以出售有关个人的信息,用于身份盗窃及其他诈骗活动 。
关于公司网络如何运作和组织数字架构的详细信息也极具价值,无论不法分子在进行侦察以发起勒索软件攻击还是策划间谍活动。比如说,路由器可能会显示某家特定组织在运行含有可利用漏洞的过时版本的应用程序或操作系统,这实际上为黑客谋划可能的攻击策略提供了一份路线图。研究人员甚至在一些路由器上发现了有关原机主办公室的物理建筑安全的详细信息。
由于二手设备打折出售,网络犯罪分子可能掏钱购买二手设备,寻觅其中的信息和网络访问权限,然后自己使用或转售这些信息。ESET 的研究人员表示,他们讨论过是否要公布研究结果,因为他们不想给网络犯罪分子新的点子,但最后得出的结论是,让公众加强对该问题的认识更为紧迫。
对全球二手市场上流通的数百万只企业网络设备而言,18只路由器只是极小的样本,但其他研究人员表示,他们在研究工作中也一再发现同样的问题。
物联网安全公司Red Balloon Security的工程经理Wyatt Ford说:“我们在eBay及其他二手卖家网站上购买了各种嵌入式设备,我们看到许多二手设备并没有用数字手段擦除掉其中的数据。这些设备可能含有大量信息,不法分子可以利用这些信息来锁定目标,并实施攻击。”
与ESET的调查结果一样,Ford表示,Red Balloon的研究人员也找到了密码、其他凭据以及个人身份信息,用户名和配置文件等一些数据通常是明文格式,易于访问。而密码和配置文件本该常常受到保护,因为它们作为加密哈希加以存储。但Ford指出,即使经过哈希处理的数据仍面临潜在风险。
他说:“我们已经获取了在设备上找到的密码哈希,并在离线环境破解了它们,你会惊讶地发现许多人仍然用宠物的名称设置密码。即使是源代码、提交历史记录、网络配置、路由规则等看似无害的信息,它们也可用于了解有关组织、人员及网络拓扑的更多信息。”
ESET研究人员指出,组织可能认为自己通过与外部设备管理公司、电子垃圾处理公司或者甚至声称可以擦除大批量企业设备以便转售的设备净化服务签订合同,因此尽到了责任。但在实践占,这些第三方可能并没有说到做到。Camp也特别指出,更多组织可能利用主流路由器已经提供的加密及其他安全功能,以减小未被擦除内容的设备最终散落在全球各个角落所带来的影响。
Camp及其同事试图联系他们购买的二手路由器的原机主,警告他们的设备现在已经在外面泄露数据。一些人对此表示感谢,但另一些人似乎无视警告,或者没有提供研究人员可以报告安全结果的机制。
Camp说:“我们利用已有的可靠渠道通知了一些公司,但后来我们发现更多的公司更难联系上,情况比较糟糕。”
参考及来源:https://arstechnica.com/information-technology/2023/04/used-routers-often-come-loaded-with-corporate-secrets/