شاید براتون اتفاق افتاده که یه مموری رو خریداری کرده باشید و ایده این داشته باشید که با برنامه های ریکاوری تستش کنید. حالا فرض کنید به جای مموری، یه دستگاه روتر داشته باشید که بتونید اطلاعات پیکربندیش رو ریکاوری کنید.
محققای ESET یه گزارشی منتشر کردن در خصوص روترهای دست دوم که به درستی پاکسازی نشدن و همچنان حاوی اطلاعات مهم هستن.
این محققا از بازار فروش تجهیزات دست دوم، 18 روتر رو خریداری کردن و بعد بررسی متوجه شدن که بیش از نیمی از اونها، همچنان کانفیگ هاشون روشونه و قابل دسترسه.
با توجه به اینکه روترها، دستگاههای موجود در شبکه رو به هم متصل میکنن، ستون فقرات یه سازمان هستن و میتونن حاوی اطلاعات حساس و مهمی باشن.
کل تحقیق هم اینجوری شروع شده که محققا میخواستن یه آزمایشگاهی رو راه اندازی کنن و یسری روتر کارکرده میخرن . موقع راه اندازی میبینن یسری از این روتر به درستی پاک نشدن و کانفیگ روشون هستش . این ایده میشه ،شروع این تحقیق.
روترهای خریداری شده :
- 4 دستگاه از Cisco (ASA 5500)
- 3 دستگاه از Fortinet (Fortigate series)
- 11 دستگاه از Juniper Networks (SRX Series Services Gateway)
یکی از دستگاهها تو همون ابتدا کار نمیکرده و کنار گذاشتن. دو موردشون هم کپی هم بودن و برای همین یکیشون رو کنار گذاشتن.
از 16 مورد باقی مونده، فقط 5 موردش به درستی پاک شده بود و دو موردش Hardening شده بودن که دسترسی به داده ها رو سختتر میکرد.
برای بقیه دستگاهها ، امکان دسترسی به داده های پیکربندی بصورت کامل، مانند اطلاعاتی از مالک دستگاه ، نحوه پیکربندی شبکه، اتصالات دستگاههای دیگر و … قابل دسترس بود.
در دستگاههای شرکتی، ادمین باید از طریق یسری دستورات ،پیکربندی رو پاک کنه و دستگاه ریست کنه، در غیر اینصورت از طریق recovery mode میشه پیکربندی اونو بازیابی کرد.
این محققا گفتن که برخی از روترها ، اطلاعات مشتریها، داده هایی که امکان اتصال یه شخص ثالث به شبکه رو فراهم میکنه و حتی اعتبارنامه هایی برای اتصال به شبکه های دیگه به عنوان یه شخص مورد اعتماد رو فراهم میکنن.
همچنین 8 مورد از 9 مورد روتری که پیکربندی کامل رو افشاء میکردن، حاوی کلیدهای احرازهویت router-to-router و هش ها بودن.
در برخی موارد این دستگاهها میتونن اطلاعاتی از برنامه های حساس مانند Microsoft Exchange و Salesforce و SharePoint و Spiceworks و VMware Horizon و SQL موجود در شرکت رو هم افشاء کنن.
مهاجمین با دونستن وجود این برنامه ها و جزییاتی در خصوصشون مانند نسخه و … میتونه دنباله اکسپلویت براشون باشن و از این طریق یه بردار حمله رو تدارک ببینه که بدون شناسایی وارد اعماق شبکه بشن .
برخی از این روترها در محیطهای ارائه دهنده خدمات مدیریت شده IT و برای مدیریت شرکت های بزرگ استفاده شده بودن. حتی یکیشون مرتبط با یه شرکت ارائه دهنده خدمات امنیتی MSSP بود و شبکه ای از صدها کلاینت مرتبط با آموزش، مالی ، مراقبت های بهداشتی و … رو مدیریت میکرد.
این تحقیق نشون دهنده این موضوع هستش که چقدر پاکسازی درست دستگاهها، قبل از اینکه از شرشون خلاص بشیم اهمیت داره. توصیه شده طبق راهنمای تولید کننده دستگاه، مراحل پاکسازی رو طی کنید و دستگاه رو به تنظیمات کارخانه برگردونید.