大量二手企業級路由器暗藏敏感數據

安全研究人員發現二手市場上的企業級網絡設備暗藏很多敏感數據，黑客可以利用這些數據來入侵公司網絡或獲取客戶信息。

核心路由器是大型企業網絡的骨干設備，用于連接所有其他網絡設備，支持多個數據通信接口，是企業IP網絡和應用的高速樞紐，也是黑客覬覦的主要目標之一。

近日，網絡安全公司ESET的研究人員檢查了幾款從在線平臺上購買的二手企業級路由器（編者：在國內二手交易市場上僅需數百元至數千元就可以買到多種品牌的二手企業級路由器），發現其中大多數在報廢流程中沒有被徹底擦除數據。

二手核心路由器暗藏敏感數據

網絡安全公司ESET的研究人員在線購買了18臺二手核心路由器，發現仍可正常使用的設備中一半以上保存著可訪問的完整配置數據。

最初，ESET研究團隊購買這些二手路由器用于設置測試環境，結果發現這些路由器沒有被正確擦除，保留了網絡配置數據以及可用于識別以前所有者的信息。

研究人員購買的設備包括思科（ASA 5500）的4臺設備，Fortinet（Fortigate系列）的3臺設備和來自瞻博網絡（SRX系列服務網關）的11臺設備。

在本周早些時候的一份報告中，Cameron Camp和Tony Anscombe表示，一臺設備在抵達時已無法正常工作，被從測試中淘汰，其中兩臺設備是彼此的鏡像，在評估結果中算作一個。

在剩下的16臺設備中，只有5臺設備被正確擦除，只有2臺設備得當安全強化（其中保存的配置數據訪問難度較大）。

其余9臺設備沒有被正確擦除或強化，研究人員可以輕松訪問前用戶配置網絡和系統連接的完整配置數據，包括所有者信息。

公司網絡設備的報廢流程中，管理員通常需要運行一些命令來安全地擦除配置并重置配置。如果沒有執行上述措施，第三方可通過恢復模式來從二手市場的核心路由器中訪問配置數據。

處于管理盲區的“硬件泄露”

研究人員表示，一些路由器保留了客戶信息，允許第三方連接到網絡的數據，甚至是“作為受信任方連接到其他網絡的憑據”。

此外，在上述測試中，保留了完整配置數據的9臺路由器中有8臺還保存了路由器到路由器身份驗證密鑰和哈希。公司機密列表擴展到本地或云中托管的敏感應用程序的完整映射。例如：Microsoft Exchange、Salesforce、SharePoint、Spiceworks、VMware Horizon和SQL等。

“攻擊者可根據（路由器泄露的）應用程序粒度和特定版本，在整個網絡拓撲中部署特定的漏洞利用。”-ESET

研究人員解釋說，如此詳細的內部信息通常只有“高級權限人員”才能訪問，例如網絡管理員及其經理。

黑客可通過二手核心路由器中的這些敏感信息輕松制定攻擊路徑和計劃，深入網絡而不被發現。

“有了如此詳細的網絡信息，模擬網絡或內部主機對于攻擊者來說會簡單得多，特別是二手路由器設備通常還包含VPN憑據或其他容易破解的身份驗證令牌”-ESET

更糟糕的是，通過分析二手路由器中的信息，研究人員發現其中一些路由器來自托管IT提供商的環境，這些托管提供商運營著（很多）大公司的網絡。

其中一臺設備甚至來自托管安全服務提供商（MSSP），該提供商為各個領域（例如教育、金融、醫療、制造業）的數百個客戶處理網絡。

最后，研究人員強烈建議企業在淘汰網絡設備之前正確擦除數據。公司應該制定并嚴格執行安全銷毀和處置數字設備的流程，徹底清理設備中的潛在敏感數據，將其恢復為出廠默認狀態。

研究人員還警告說，使用第三方服務進行設備銷毀或擦除可能并不是個好主意。因為當ESET通知路由器原用戶時發現，很多公司使用了第三方服務（但設備并未被正確擦除）。