Tin tặc có thể xâm phạm mạng bằng cách sử dụng dữ liệu trên các bộ định tuyến của công ty được bán lại

Khi xem xét một số bộ định tuyến cấp công ty đã qua sử dụng, các nhà nghiên cứu nhận thấy rằng hầu hết chúng đã được xóa không đúng cách trong quá trình ngừng hoạt động và sau đó được đem bán trực tuyến.

Bộ định tuyến lõi (Core routers)

Các nhà nghiên cứu tại công ty an ninh mạng ESET đã mua 18 bộ định tuyến lõi đã qua sử dụng và nhận thấy rằng dữ liệu cấu hình đầy đủ vẫn có thể được truy cập trên hơn một nửa số bộ định tuyến hoạt động bình thường.

Bộ định tuyến lõi (Core routers) là xương sống của một mạng lớn khi chúng kết nối tất cả các thiết bị mạng khác. Chúng hỗ trợ nhiều giao diện truyền dữ liệu và được thiết kế để chuyển tiếp các gói IP ở tốc độ cao nhất.

Ban đầu, nhóm nghiên cứu ESET đã mua một vài bộ định tuyến đã qua sử dụng để thiết lập môi trường thử nghiệm và phát hiện ra rằng chúng chưa được xóa đúng cách và chứa dữ liệu cấu hình mạng cũng như thông tin giúp xác định chủ sở hữu trước đó.

Thiết bị đã mua bao gồm bốn thiết bị của Cisco (ASA 5500), ba thiết bị của Fortinet (dòng Fortigate) và 11 thiết bị của Juniper Networks (Cổng dịch vụ dòng SRX).

Trong một báo cáo đầu tuần này, Cameron Camp và Tony Anscombe nói rằng một thiết bị đã hỏng khi đến nơi và bị loại khỏi các bài kiểm tra và hai trong số chúng là tấm gương phản chiếu của nhau và được tính là một trong kết quả đánh giá.

Trong số 16 thiết bị còn lại, chỉ có 5 thiết bị được xóa đúng cách và chỉ 2 thiết bị được làm đông cứng (hardened), khiến một số dữ liệu trở nên khó truy cập hơn.

Tuy nhiên, đối với hầu hết trong số đó, có thể truy cập dữ liệu cấu hình hoàn chỉnh, đây là kho thông tin chi tiết về chủ sở hữu, cách thiết lập mạng và kết nối giữa các hệ thống khác.

Với các thiết bị mạng công ty, quản trị viên cần thực hiện một vài lệnh để xóa cấu hình và đặt lại cấu hình một cách an toàn. Nếu không, các bộ định tuyến có thể được khởi động vào chế độ khôi phục cho phép kiểm tra xem nó đã được thiết lập như thế nào.

Bí mật trong hệ thống mạng

Các nhà nghiên cứu nói rằng một số bộ định tuyến đã lưu giữ thông tin khách hàng, dữ liệu cho phép bên thứ ba kết nối với mạng và thậm chí cả “thông tin đăng nhập để kết nối với các mạng khác với tư cách là bên đáng tin cậy”.

Ngoài ra, tám trong số chín bộ định tuyến hiển thị dữ liệu cấu hình đầy đủ cũng chứa các mã xác thực và mã băm giữa bộ định tuyến với bộ định tuyến.

Danh sách các bí mật của công ty được thêm vào để hoàn thành bản đồ của các ứng dụng nhạy cảm được lưu trữ cục bộ hoặc trên đám mây. Một số ví dụ bao gồm Microsoft Exchange, Salesforce, SharePoint, Spiceworks, VMware Horizon và SQL.

“Do mức độ chi tiết của các ứng dụng và các phiên bản cụ thể được sử dụng trong một số trường hợp, các khai thác đã biết có thể được triển khai trên cấu trúc liên kết mạng mà kẻ tấn công đã lập bản đồ” - ESET

Các nhà nghiên cứu giải thích rằng các chi tiết nội bộ mở rộng như vậy thường được dành riêng cho “nhân viên có chứng chỉ cao” chẳng hạn như quản trị viên mạng và người quản lý của họ.

Kẻ tấn công có quyền truy cập vào loại thông tin này có thể dễ dàng lên kế hoạch cho một kế hoạch tấn công đưa vào sâu bên trong mạng mà không bị phát hiện.

“Với mức độ chi tiết này, việc mạo danh mạng hoặc máy chủ nội bộ sẽ đơn giản hơn nhiều đối với kẻ tấn công, đặc biệt là vì các thiết bị thường chứa thông tin xác thực VPN hoặc mã thông báo xác thực dễ bị bẻ khóa khác” - ESET

Dựa trên các chi tiết được phát hiện trong các bộ định tuyến, một số trong số chúng đã ở trong môi trường của các nhà cung cấp CNTT được quản lý, những người vận hành mạng của các công ty lớn.

Một thiết bị thậm chí còn thuộc về nhà cung cấp dịch vụ quản lý bảo mật (MSSP) đã xử lý mạng cho hàng trăm khách hàng trong các lĩnh vực khác nhau (ví dụ: giáo dục, tài chính, chăm sóc sức khỏe, sản xuất).

Sau những phát hiện này, các nhà nghiên cứu nhấn mạnh tầm quan trọng của việc xóa các thiết bị mạng đúng cách trước khi loại bỏ chúng. Các công ty nên có sẵn các quy trình để tiêu hủy và xử lý an toàn thiết bị kỹ thuật số của mình.

Các nhà nghiên cứu cũng cảnh báo rằng việc sử dụng dịch vụ của bên thứ ba cho hoạt động này không phải lúc nào cũng là một ý tưởng hay. Sau khi thông báo cho chủ sở hữu bộ định tuyến về những phát hiện của họ, họ biết rằng công ty đã sử dụng một dịch vụ như vậy. “Điều đó rõ ràng đã không diễn ra như kế hoạch.”

Lời khuyên ở đây là làm theo các khuyến nghị từ nhà sản xuất thiết bị để xóa sạch dữ liệu nhạy cảm khỏi thiết bị và đưa thiết bị về trạng thái mặc định ban đầu.