Les équipements réseau d’entreprise sur le marché secondaire cachent des données sensibles que les pirates pourraient utiliser pour pénétrer dans les environnements d’entreprise ou pour obtenir des informations sur les clients.
En examinant plusieurs routeurs d’entreprise usagés, les chercheurs ont découvert que la plupart d’entre eux avaient été mal effacés pendant le processus de déclassement, puis vendus en ligne.
Routeurs principaux à vendre
Les chercheurs de la société de cybersécurité ESET ont acheté 18 routeurs principaux usagés et ont découvert que les données de configuration complètes étaient toujours accessibles sur plus de la moitié de ceux qui fonctionnaient correctement.
Les routeurs principaux sont l’épine dorsale d’un grand réseau car ils connectent tous les autres périphériques réseau. Ils prennent en charge plusieurs interfaces de communication de données et sont conçus pour transférer les paquets IP aux vitesses les plus élevées.
Initialement, l’équipe de recherche d’ESET a acheté quelques routeurs usagés pour mettre en place un environnement de test et a constaté qu’ils n’avaient pas été correctement effacés et qu’ils contenaient des données de configuration réseau ainsi que des informations permettant d’identifier les propriétaires précédents.
L’équipement acheté comprenait quatre appareils de Cisco (ASA 5500), trois de Fortinet (série Fortigate) et 11 de Juniper Networks (SRX Series Services Gateway).
Dans un rapport plus tôt cette semaine, Cameron Camp et Tony Anscombe disent qu’un appareil était mort à l’arrivée et éliminé des tests et que deux d’entre eux étaient un miroir l’un de l’autre et comptaient pour un dans les résultats de l’évaluation.
Sur les 16 appareils restants, seuls cinq ont été correctement effacés et seulement deux ont été renforcés, ce qui rend certaines données plus difficiles d’accès.
Pour la plupart d’entre eux, cependant, il était possible d’accéder aux données de configuration complètes, qui sont une mine de détails sur le propriétaire, la façon dont il a configuré le réseau et les connexions entre les autres systèmes.
Avec les périphériques réseau d’entreprise, l’administrateur doit exécuter quelques commandes pour effacer en toute sécurité la configuration et la réinitialiser. Sans cela, les routeurs peuvent être démarrés dans un mode de récupération qui permet de vérifier comment il a été configuré.
Les secrets du réseau
Les chercheurs affirment que certains des routeurs ont conservé des informations sur les clients, des données permettant des connexions tierces au réseau et même des « informations d’identification pour se connecter à d’autres réseaux en tant que partie de confiance ».
De plus, huit des neuf routeurs qui ont exposé les données de configuration complètes contenaient également des clés d’authentification et des hachages de routeur à routeur.
La liste des secrets d’entreprise étendue aux cartes complètes des applications sensibles hébergées localement ou dans le cloud. Certains exemples incluent Microsoft Exchange, Salesforce, SharePoint, Spiceworks, VMware Horizon et SQL.
« En raison de la granularité des applications et des versions spécifiques utilisées dans certains cas, des exploits connus pourraient être déployés sur la topologie du réseau qu’un attaquant aurait déjà cartographié » – ESET
Ces détails d’initiés étendus sont généralement réservés au « personnel hautement qualifié » tel que les administrateurs de réseau et leurs gestionnaires, expliquent les chercheurs.
Un adversaire ayant accès à ce type d’informations pourrait facilement proposer un plan pour un chemin d’attaque qui l’emmènerait profondément à l’intérieur du réseau sans être détecté.
« Avec ce niveau de détail, se faire passer pour un réseau ou des hôtes internes serait beaucoup plus simple pour un attaquant, d’autant plus que les appareils contiennent souvent des informations d’identification VPN ou d’autres jetons d’authentification facilement piratés » – ESET
Sur la base des détails découverts dans les routeurs, plusieurs d’entre eux se trouvaient dans des environnements de fournisseurs informatiques gérés, qui exploitent les réseaux de grandes entreprises.
Un appareil appartenait même à un fournisseur de services de sécurité gérés (MSSP) qui gérait les réseaux de centaines de clients dans divers secteurs (par exemple, l’éducation, la finance, la santé, la fabrication).
Suite à leurs découvertes, les chercheurs soulignent l’importance de nettoyer correctement les périphériques réseau avant de s’en débarrasser. Les entreprises doivent mettre en place des procédures pour la destruction et l’élimination sécurisées de leur équipement numérique.
Les chercheurs avertissent également que l’utilisation d’un service tiers pour cette activité n’est pas toujours une bonne idée. Après avoir informé le propriétaire d’un routeur de leurs découvertes, ils ont appris que l’entreprise avait utilisé un tel service. « Cela ne s’est clairement pas passé comme prévu. »
Le conseil ici est de suivre les recommandations du fabricant de l’appareil pour nettoyer l’équipement des données potentiellement sensibles et le ramener à un état d’usine par défaut.