Hackers kunnen tweedehands core routers en andere bedrijfsnetwerkapparatuur gebruiken om de interne systemen van een onderneming te infiltreren. In praktijk worden deze apparaten niet goed gewist, waardoor bedrijfsgegevens, VPN-gegevens, encryptiesleutels en andere gevoelige data beschikbaar blijven. In de verkeerde handen kunnen hackers hiermee een cyberaanval uitvoeren en vertrouwelijke data stelen.
Dat blijkt uit onderzoek van ESET.
Organisaties recyclen regelmatig gedateerde netwerkapparatuur via externe partijen. In dat geval is het belangrijk dat vertrouwelijke gegevens van de apparaten worden verwijderd. Maar gebeurt dat ook in praktijk? ESET nam de proef op de som.
Het cybersecuritybureau kocht 16 verschillende gebruikte netwerkapparaten en bestudeerde de configuratiegegevens. Onderzoekers zagen dat meer dan de helft van de gekochte apparaten (56 procent) gevoelige bedrijfsgegevens bevatte. Dan moet je denken aan klantgegevens, gegevens voor derden om verbindingen met het bedrijfsnetwerk te maken, verbindingsgegevens voor specifieke toepassingen, router-naar-router verificatiesleutels en gehashte root-wachtwoorden.
De routers uit het onderzoek zijn afkomstig van middelgrote bedrijven tot wereldwijde multinationals van uiteenlopende sectoren, waaronder datacenters, advocatenkantoren en softwareontwikkelaars. ESET benaderde de bewuste bedrijven over haar bevindingen. Een deel reageerde geschokt op de bevindingen. Sommige organisaties reageerden helemaal niet, zelfs niet toen ESET meerdere malen probeerde om contact op te nemen.
Onderzoeksleider Cameron Camp noemt de bevindingen verontrustend. “We zouden verwachten dat middelgrote tot enterprise bedrijven een strikte set aan beveiligingsinitiatieven hebben om apparaten buiten gebruik te stellen, maar we zagen het tegenovergestelde”, vertelt hij.
Organisaties moeten in zijn ogen zich veel bewuster zijn van de potentiële gevaren waaraan ze zichzelf blootstellen. De gegevens die de onderzoekers aantroffen vormen een soort van ‘digitale blauwdruk’ van een bedrijf. Hackers kunnen dergelijke data misbruiken om zichzelf ongeoorloofd toegang te verschaffen tot de systemen van een bedrijfsnetwerk. En daarmee tot gevoelige en vertrouwelijke klant- en bedrijfsgegevens.
“Er zijn goed gedocumenteerde processen en richtlijnen voor de juiste ontmanteling van hardware. Dit onderzoek toont aan dat veel bedrijven deze niet strikt volgen bij het voorbereiden van apparaten voor de tweedehands hardware markt”, zegt Tony Anscombe, Chief Security Evangelist bij ESET.
Hij benadrukt dat hackers vaak veel moeite moeten doen om misbruik te maken van een kwetsbaarheid of een spearphishingaanval uit te voeren. Door gevoelige data niet te verwijderen van netwerkapparatuur, wordt het aanvallers een stuk eenvoudiger gemaakt.
“We dringen er bij organisaties die betrokken zijn bij het verwijderen van apparaten, het vernietigen van gegevens en het doorverkopen van apparaten op aan om hun processen onder de loep te nemen en ervoor te zorgen dat ze voldoen aan de nieuwste NIST-normen voor het opschonen van media”, legt Anscombe uit.
ESET adviseert om bedrijfsgegevens niet alleen routers en harde schijven te wissen. Bedrijven en organisaties moeten dat doen voor elk apparaat dat ooit onderdeel uitmaakte van een intern netwerk.
“Veel organisaties in dit onderzoek dachten waarschijnlijk dat zij contracten hadden gesloten met gerenommeerde leveranciers, maar toch lekten hun gegevens uit. Met dit in gedachten, is het raadzaam dat organisaties de richtlijnen van de fabrikant opvolgen voor het verwijderen van alle gegevens van een apparaat, voordat het fysiek het pand verlaat”, schrijft het beveiligingsbedrijf.
De bevindingen van het onderzoek worden vandaag door Camp en Anscombe uitgebreid gepresenteerd op de RSA Conference 2023, die van 24 tot en met 27 april plaatsvindt in San Francisco.