企业因未清除废弃路由器而遭受黑客攻击

设备退役应当根据组织内的废弃清理原则和策略，进行废弃、清除、销毁等工作。在我们的等级保护工作中，最后一个阶段就是“设备迁移或废弃”，有些单位感觉这个系统废弃了就仍在那里就行了，或者没有太多人注意这块的安全风险，往往不理解这块工作的重要性，正好最近国外就有个案例，正是因废弃路由器未清除引起黑客攻击的案例。

系统下线废弃，其中还是有非常多的价值的，所以等级保护工作中有一个废弃阶段，但是很多单位一般都是一句“不用了”应对，废弃有设备处置还有需要到公安部门注销备案信息，特别是网站系统还需要注销ICP备案、网站的网安备案、等级保护备案等等，不能“不用”了事，否则还有风险及连带责任。

根据网络安全公司 ESET 进行的一项分析，丢弃的企业路由器通常没有被正确擦除并存储可能对恶意黑客非常有用的秘密。

该公司收购了18台Cisco、Fortinet和Juniper Networks的二手企业路由器，发现包括核心路由器在内的9台设备配置数据完整。只有五台设备被正确擦除。  

对于这九台路由器，ESET 能够根据设备上仍然存在的数据高度自信地确定它们之前的所有者是谁。这份名单包括一家跨国科技公司和一家电信公司，它们都拥有 10,000 多名员工和超过 10 亿美元的收入。

在这些路由器上发现的易于访问和敏感的公司信息还包括 IPsec 或 VPN 凭据或哈希根密码、客户信息、允许第三方连接到网络的数据、用于连接到其他网络的凭据、路由器到路由器的身份验证密钥、和特定应用程序的连接细节。 

ESET 警告说，许多暴露的信息可能对计划攻击设备原始所有者的威胁行为者非常有用。

在路由器上找到的网络信息类型通常仅供组织内有限数量的个人使用。这些设备还存储了用于访问云应用程序的信息以及防火墙规则。

ESET 解释说：“有了这种级别的详细信息，冒充网络或内部主机对于攻击者来说会简单得多，特别是因为这些设备通常包含 VPN 凭证或其他容易破解的身份验证令牌。”

路由器暴露的另一条重要信息与组织的安全性有关。设备的安全配置可以让威胁行为者推断受害者的整体安全级别。

“我们还注意到，值得注意的是，在为更大的组织运营网络的托管 IT 提供商退役后，获得了多台设备，因此受影响的组织通常不知道他们现在可能由于第三方的数据泄露而容易受到攻击派对，”ESET 说。

“这似乎是一个巨大的安全攻击面，可能对大量目标组织敞开大门。两家这样的 IT 公司（其中一家是 MSSP）为教育、金融、医疗保健、制造和专业服务等各个领域的数百名客户管理网络，”它补充道。

这家网络安全公司试图联系受测路由器的前任所有者，警告他们潜在的风险。三个组织完全忽略了 ESET。 

有趣的是，受影响组织的一位代表表示，他们已经签订了专门的处置服务合同，得知调查结果后感到“震惊”。 

ESET 的完整报告包含安全处置路由器的建议，指出在大多数情况下，使用制造商提供的功能可以轻松擦除设备。 

编译自：安全周刊

>>>等级保护<<<

开启等级保护之路：GB 17859网络安全等级保护上位标准

回看等级保护：重要政策规范性文件43号文（上）

网络安全等级保护实施指南培训PPT

网络安全等级保护安全物理环境测评培训PPT

网络安全等级保护：等级保护测评过程要求PPT

网络安全等级保护：安全管理中心测评PPT

网络安全等级保护：安全管理制度测评PPT

网络安全等级保护：定级指南与定级工作PPT

网络安全等级保护：云计算安全扩展测评PPT

网络安全等级保护：工业控制安全扩展测评PPT

网络安全等级保护：移动互联安全扩展测评PPT

网络安全等级保护：第三级网络安全设计技术要求整理汇总

网络安全等级保护：等级测评中的渗透测试应该如何做

网络安全等级保护：等级保护测评过程及各方责任

网络安全等级保护：政务计算机终端核心配置规范思维导图

网络安全等级保护：什么是等级保护？

网络安全等级保护：信息技术服务过程一般要求

网络安全等级保护：浅谈物理位置选择测评项

闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载

闲话等级保护：什么是网络安全等级保护工作的内涵？

闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求

闲话等级保护：测评师能力要求思维导图

闲话等级保护：应急响应计划规范思维导图

闲话等级保护：浅谈应急响应与保障

闲话等级保护：如何做好网络总体安全规划

闲话等级保护：如何做好网络安全设计与实施

闲话等级保护：要做好网络安全运行与维护

闲话等级保护：人员离岗管理的参考实践

信息安全服务与信息系统生命周期的对应关系

>>>工控安全<<<

工业控制系统安全：信息安全防护指南

工业控制系统安全：工控系统信息安全分级规范思维导图

工业控制系统安全：DCS防护要求思维导图

工业控制系统安全：DCS管理要求思维导图

工业控制系统安全：DCS评估指南思维导图

工业控制安全：工业控制系统风险评估实施指南思维导图

工业控制系统安全：安全检查指南思维导图（内附下载链接）

工业控制系统安全：DCS风险与脆弱性检测要求思维导图

>>>数据安全<<<

数据治理和数据安全

数据安全风险评估清单

成功执行数据安全风险评估的3个步骤

美国关键信息基础设施数据泄露的成本

备份：网络和数据安全的最后一道防线

数据安全：数据安全能力成熟度模型

数据安全知识：什么是数据保护以及数据保护为何重要？

信息安全技术：健康医疗数据安全指南思维导图

金融数据安全：数据安全分级指南思维导图

金融数据安全：数据生命周期安全规范思维导图

>>>供应链安全<<<

美国政府为客户发布软件供应链安全指南

OpenSSF 采用微软内置的供应链安全框架

供应链安全指南：了解组织为何应关注供应链网络安全

供应链安全指南：确定组织中的关键参与者和评估风险

供应链安全指南：了解关心的内容并确定其优先级

供应链安全指南：为方法创建关键组件

供应链安全指南：将方法整合到现有供应商合同中

供应链安全指南：将方法应用于新的供应商关系

供应链安全指南：建立基础，持续改进。

思维导图：ICT供应链安全风险管理指南思维导图

英国的供应链网络安全评估

>>>其他<<<

网络安全十大安全漏洞

网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

网络安全等级保护：应急响应计划规范思维导图

安全从组织内部人员开始

VMware 发布9.8分高危漏洞补丁

影响2022 年网络安全的五个故事

2023年的4大网络风险以及如何应对

网络安全知识：物流业的网络安全

网络安全知识：什么是AAA（认证、授权和记账）？

美国白宫发布国家网络安全战略

开源代码带来的 10 大安全和运营风险

不能放松警惕的勒索软件攻击

10种防网络钓鱼攻击的方法

Mozilla通过发布Firefox 111修补高危漏洞

Meta 开发新的杀伤链理论

最佳CISO如何提高运营弹性

5年后的IT职业可能会是什么样子？

累不死的IT加班人：网络安全倦怠可以预防吗？

网络风险评估是什么以及为什么需要

低代码/无代码开发对安全性和生产力的影响

源代码泄漏是新的威胁软件供应商应该关心的吗？

标准下载：2023年24个即将实施标准下载

标准下载：网络安全从业人员能力基本要求GB/T 42446-2023

原文始发于微信公众号（河南等级保护测评）：企业因未清除废弃路由器而遭受黑客攻击