Jak chronić firmowe routery? Nowe wytyczne międzynarodowych służb bezpieczeństwa

Dziewiętnaście agencji bezpieczeństwa z całego świata wydało wspólny komunikat ostrzegający przed nasilającymi się atakami na infrastrukturę sieciową przedsiębiorstw. Hakerzy przejmują kontrolę nad routerami, wykorzystując przestarzałe protokoły oraz zaniedbania w bieżącej administracji sprzętem.

 

Stare protokoły otwartą furtką dla hakerów

Grupy hakerskie znane jako Berserk Bear czy Ghost Blizzard stosują skuteczne od lat metody skanowania sieci w poszukiwaniu podatnych urządzeń. Wykorzystują one protokół SNMP w wersjach 1 i 2, który często operuje na fabrycznych, łatwo dostępnych hasłach. Po uzyskaniu dostępu napastnicy pobierają pliki konfiguracyjne zawierające dane uwierzytelniające zapisane w formie jawnej lub słabo zakodowanej, co pozwala im na swobodne poruszanie się po zasobach organizacji. Szczególnym celem są starsze urządzenia Cisco, w których wciąż aktywne pozostają luki bezpieczeństwa znane nawet od 2008 roku.

 

Pułapka zapomnianego sprzętu sieciowego

Wiele organizacji wykazuje tendencję do pasywnego traktowania routerów, rzadziej monitorując ich stan niż ma to miejsce w przypadku serwerów czy komputerów pracowników. Seva Ioussoufovitch, analityk z Info-Tech Research Group, wskazuje na problem braku jasnego podziału odpowiedzialności, gdzie zespoły sieciowe i działy bezpieczeństwa wzajemnie oczekują od siebie nadzoru nad tymi urządzeniami. Sytuację pogarsza eksploatacja sprzętu, którego okres wsparcia technicznego dawno wygasł, a który pozostaje w użyciu ze względu na chęć zachowania ciągłości biznesowej bez ponoszenia kosztów wymiany. Taki stan rzeczy sprawia, że nawet proste techniki ataku, stosowane od ponad dekady, wciąż okazują się efektywne.

 

Niezbędne kroki w stronę bezpiecznej infrastruktury

Eksperci apelują o bezzwłoczne wyłączenie przestarzałych wersji protokołu SNMP i przejście na standard SNMPv3, który oferuje nowoczesne metody szyfrowania oraz bezpieczniejszą autoryzację danych. Konieczne jest również wdrożenie silnych, unikalnych haseł oraz uwierzytelniania wieloskładnikowego dla wszystkich kont administracyjnych. Ważnym zaleceniem jest dezaktywacja narzędzia Cisco Smart Install po zakończeniu procesu wstępnej konfiguracji, gdyż jego pozostawienie w systemie otwiera niebezpieczną drogę dla cyberprzestępców. Specjaliści sugerują także wprowadzenie segmentacji sieci oraz systemów detekcji, które potrafią wyłapać anomalie w ruchu generowanym przez urządzenia sieciowe.