Los equipos de red de nivel empresarial en el mercado secundario ocultan datos sensibles que los delincuentes informáticos podrían utilizar para violar entornos corporativos u obtener información de clientes.
Al examinar varios routers de nivel corporativo usados, los investigadores descubrieron que la mayoría de ellos habían sido borrados incorrectamente durante el proceso de desmantelamiento y luego vendidos en línea.
Como hicimos desde Segu-Info en 2018, los investigadores de la empresa de ciberseguridad ESET compraron 18 routers de core usados y descubrieron que aún se podía acceder a los datos de configuración completos en más de la mitad de los que funcionaban correctamente.
Los routers de core son la columna vertebral de una gran red, ya que conectan todos los demás dispositivos de red. Soportan múltiples interfaces de comunicación de datos y están diseñados para reenviar paquetes IP a las velocidades más altas.
Inicialmente, el equipo de investigación de ESET compró unos cuantos routers usados para crear un entorno de pruebas y descubrió que no habían sido limpiados correctamente y que contenían datos de configuración de red, así como información que ayudaba a identificar a los anteriores propietarios.
Entre los equipos adquiridos había cuatro dispositivos de Cisco (ASA 5500), tres de Fortinet (serie Fortigate) y 11 de Juniper Networks (puerta de enlace de servicios de la serie SRX).
En un informe publicado a principios de esta semana, Cameron Camp y Tony Anscombe afirman que un dispositivo murió al llegar y fue eliminado de las pruebas, y que dos de ellos eran una réplica del otro y contaron como uno solo en los resultados de la evaluación.
De los 16 dispositivos restantes, sólo cinco se habían borrado correctamente y sólo dos se habían reforzado, lo que dificultó el acceso a algunos de los datos. En la mayoría de ellos, sin embargo, fue posible acceder a los datos de configuración completos, que son un tesoro de detalles sobre el propietario, cómo configuró la red y las conexiones entre otros sistemas.
En el caso de los dispositivos de redes corporativas, el administrador necesita ejecutar unos cuantos comandos para borrar la configuración de forma segura y restablecerla. Sin esto, los routers pueden arrancar en un modo de recuperación que permite comprobar cómo se configuró.
Los investigadores afirman que algunos de los routers conservaban información de clientes, datos que permitían conexiones de terceros a la red e incluso "credenciales para conectarse a otras redes como parte de confianza".
Además, ocho de los nueve routers que expusieron los datos de configuración completos también contenían claves y hashes de autenticación de router a router. La lista de secretos corporativos se extendía a mapas completos de aplicaciones sensibles alojadas localmente o en la nube. Algunos ejemplos incluyen Microsoft Exchange, Salesforce, SharePoint, Spiceworks, VMware Horizon y SQL.
Los investigadores explican que este tipo de información privilegiada suele estar reservada a "personal con credenciales privilegiadas", como los administradores de red y sus responsables. Un adversario con acceso a este tipo de información podría elaborar fácilmente un plan para una ruta de ataque que le llevara al interior de la red sin ser detectado.
Según los detalles descubiertos en los routers, varios de ellos habían estado en entornos de proveedores de TI gestionados, que operan las redes de grandes empresas. Un dispositivo incluso pertenecía a un proveedor de servicios de seguridad gestionados (MSSP) que manejaba redes para cientos de clientes de diversos sectores (por ejemplo, educación, finanzas, sanidad o fabricación).
A raíz de sus hallazgos, los investigadores destacan la importancia de borrar adecuadamente los dispositivos de red antes de deshacerse de ellos. Las empresas deberían disponer de procedimientos para la destrucción y eliminación seguras de sus equipos digitales.
Los investigadores también advierten de que utilizar un servicio de terceros para esta actividad puede no ser siempre una buena idea. Tras notificar sus hallazgos al propietario de un router, se enteraron de que la empresa había utilizado un servicio de este tipo. "Está claro que eso no salió como estaba previsto".
El consejo en este caso es seguir las recomendaciones del fabricante del dispositivo para limpiar el equipo de datos potencialmente sensibles y llevarlo a un estado predeterminado de fábrica.
Fuente: BC