Posté le avril 22, 2023 à 4:36
DES HACKERS POURRAIENT ACCÉDER À DES INFORMATIONS SENSIBLES À PARTIR D’ÉQUIPEMENTS DE RÉSEAU D’ENTREPRISE REVENDUS
Des hackers pourraient exploiter des équipements de réseau d’entreprise vendus sur le marché secondaire. Ces équipements cachent des données sensibles que les hackers pourraient utiliser pour obtenir un accès non autorisé aux environnements de l’entreprise ou pour voler des informations sur les clients.
Les routeurs d’entreprise revendus sont susceptibles d’être piratés
Lorsque les entreprises souhaitent remplacer leurs routeurs, elles se tournent souvent vers le marché de seconde main pour les revendre. Cependant, les chercheurs affirment que la plupart de ces routeurs sont nettoyés de manière inappropriée lors de leur mise hors service avant d’être vendus en ligne. Les hackers peuvent donc les utiliser pour obtenir des informations sensibles ou pénétrer dans les réseaux d’entreprise.
Des chercheurs de la société de cybersécurité ESET ont révélé les vulnérabilités de ces routeurs mis hors service. Ces chercheurs ont acheté 18 routeurs de base qui avaient déjà été utilisés. Ils ont découvert qu’il était encore possible d’accéder aux données de configuration sur plus de la moitié des routeurs qui fonctionnaient encore.
Les routeurs centraux sont utilisés sur les grands réseaux. Ils relient tous les autres appareils du réseau. Ces routeurs prennent également en charge plusieurs interfaces de communication de données et ont été conçus pour transmettre des paquets IP à grande vitesse.
Les dispositifs achetés par les chercheurs comprenaient quatre dispositifs de Cisco, trois de Fortinet et 11 de Juniper Networks. Un autre rapport publié cette semaine indique que l’un des dispositifs n’a pas fonctionné et n’a pas été inclus dans les tests.
Deux des dispositifs étaient identiques et ont été évalués comme un seul dans les résultats de l’évaluation. Seuls cinq des seize autres appareils ont été effacés correctement, et deux d’entre eux ont été durcis d’une manière qui rendait l’accès aux données trop complexe. Toutefois, il a été possible d’accéder à l’ensemble des données de configuration sur la plupart des appareils. Ces données comprennent les coordonnées du propriétaire, la configuration du réseau et la connexion au système.
Les routeurs centraux utilisés sur les réseaux d’entreprise nécessitent que les administrateurs exécutent plusieurs commandes pour réinitialiser et effacer la configuration. Si l’administrateur ne le fait pas, ces routeurs peuvent être redémarrés dans un mode de récupération qui permettra de vérifier comment la configuration et l’installation ont été effectuées.
Les routeurs contiennent des informations sensibles
Selon les chercheurs, certains routeurs centraux ont conservé des informations sur les clients. Ces données permettaient d’établir des connexions avec des tiers au sein du réseau. Un hacker pouvait également accéder aux identifiants utilisés pour se connecter à d’autres réseaux.
Neuf routeurs utilisés dans la recherche ont exposé l’ensemble des données de configuration, et l’un d’entre eux hébergeait par ailleurs les clés et les hachages d’authentification de routeur à routeur. Les données sensibles comprennent aussi les cartes complètes des applications sensibles hébergées localement ou dans le nuage.
Parmi les applications sensibles, citons Microsoft Exchange, SharePoint, Salesforce, VMware Horizon, Spiceworks et SQL. Les chercheurs d’ESET ont noté que la nature des applications et les versions spécifiques permettaient de déployer des exploits connus sur l’ensemble du réseau tel qu’il a été cartographié par le hacker.
Dans ce cas, les informations d’initiés sont réservées au personnel disposant d’un haut niveau d’habilitation, notamment les administrateurs de réseau et leurs responsables. Un acteur malveillant qui aurait accès à ces informations pourrait facilement élaborer un plan d’attaque lui permettant d’accéder à l’ensemble du réseau sans déclencher d’alerte.
Selon les chercheurs, « avec un tel niveau de détail, il serait beaucoup plus simple pour un attaquant d’usurper l’identité d’un réseau ou d’un hôte interne, d’autant plus que les appareils contiennent souvent des identifiants VPN ou d’autres jetons d’authentification faciles à pirater ».
Les données contenus dans les routeurs ont par ailleurs montré que certains d’entre eux fonctionnaient dans un environnement de fournisseurs de services informatiques gérés qui exploitent les réseaux utilisés par les grandes entreprises. L’un des appareils appartenait à un fournisseur de services de sécurité gérés (MSSP) qui gérait les réseaux de clients issus de divers secteurs tels que la santé, la finance, l’éducation et l’industrie manufacturière.
Cette étude montre qu’il est important d’effacer correctement les données sur les appareils de réseau avant de s’en débarrasser. En outre, les entreprises ont besoin de mécanismes pour détruire et éliminer leur équipement numérique en toute sécurité. Les chercheurs ont également exhorté les entreprises à ne pas recourir à des services tiers pour effacer les données des appareils en réseau.
Ils ont noté qu’après avoir contacté l’une des entreprises qui avaient vendu leurs routeurs, ils ont découvert qu’elle avait utilisé un service tiers. Les entreprises doivent donc suivre les recommandations formulées par les fabricants de ces appareils afin de les débarrasser de toutes les données sensibles susceptibles d’être utilisées lors d’un piratage.
