警惕!攻擊者偏愛的6大默認配置攻擊“宿主”
默認配置可能會存在大量安全漏洞。為了您的網絡安全,以下是6個需要慎重檢查的產品和服務。
當提及連接至企業網絡的設備時,“開箱即用”看起來就像一個誘人的承諾,但殊不知,其同時也是危險所在。試想一下,設備能夠在無需人工干預的情況下處理所有網絡協議和握手,這看似非常方便高效,但是,當人們沉浸在“開箱即用”帶來的便利中無法自拔,而忘卻更改一些眾所周知的默認設置時,這種便捷性很快就會演變成一個致命的漏洞。
當提及危險的默認設置時,大多數人第一時間就會想到管理員賬戶名和密碼。毫無疑問,如果在初始配置期間未曾更改過這些設備上的默認憑據(幾乎每個供應商都會建議您更改默認設置),那么它們很可能會演變成重大的安全漏洞。幾年前,臭名昭著的 Mirai 僵尸網絡將成千上萬的設備拖到了目標Dyn(一家為主要網站提供域名服務的網絡公司),通過使 Dyn無法正常解析域名,導致其它依賴其服務的網站也無法訪問,造成在大面積的網絡癱瘓。簡單的 Mirai 之所以能夠造成如此大規模的損失,很大原因就在于利用了設備默認的簡單密碼。
但其實,除了管理員賬戶和密碼之外,還存在其他一些配置項目,同樣存在嚴重的安全隱患。
在數不勝數的事件中,我們發現,云服務或應用程序的默認配置同樣會使基礎架構和數據面臨攻擊威脅。例如,Docker Hub丟失的19萬個帳戶的密鑰和令牌就是攻擊者利用云環境中的密鑰和令牌存儲的弱安全配置的結果。
在詳細介紹安全專業人員應該注意的一些默認配置之前,我們必須毫無保留地說,默認的用戶名或密碼絕不應該在初始設置會話中繼續存在。在一個理想化的世界中,只要配置腳本允許,每個設置服務、應用程序或硬件設備的人員都會更改管理員用戶名和密碼,因此我可以認為,如果接下來還是出現了默認配置漏洞,就說明該過程中出現了問題。
不過話雖如此,人類-以及人類參與創造的過程總是無法避免錯誤的存在。為防您的組織中也存在此類人員或流程故障,請在網絡掃描中尋找如下6款產品和服務。請記住,如果您能夠找到它們,那么充滿“求知欲”的技能超群的黑客更是能夠輕松地通過Shodan發現它們,進而實施攻擊活動。
1. Cisco Configuration Professional
Cisco Configuration Professional(Cisco CP)是用于思科接入路由器的GUI型設備管理工具。該工具通過簡單易用的GUI向導,簡化了路由、防火墻、IPS、私人虛擬網絡、統一通信、廣域網和局域網配置,網絡管理員和渠道合作伙伴可以用它更加輕松地部署路由器。此外,該產品還提供了一鍵式路由器鎖定以及創新的語音和安全審核功能,可用于檢查路由器配置并提出更改建議。同時,它還可以監控路由器的狀態,并對廣域網和虛擬專用網連接問題進行故障診斷。
Cisco CP提供的設備有默認設置,但是,大多數使用該程序的用戶都已經將默認的““ cisco / cisco”用戶名和密碼更改成了符合其組織策略的名稱。如果忽略了這一步驟,那么未來很可能會引發非常嚴重的問題。因為作為一款功能極其強大的程序,同樣能夠為攻擊者所用來實施惡意攻擊活動。
涉及該程序最為危險的場景就是將默認配置留在管理員系統(或具有管理特權的其它系統)上,而沒有設置全新的、安全的憑據。
2. 電纜調制解調器(Cable Modem,CM)
如今,員工的家庭網絡已經成為了企業網絡的一部分,只要員工晚上將工作帶回家完成,這種情況就是成立的。無論他們是在公司提供的計算機上還是在自己的家庭系統上進行工工作,都是如此。無論具體采取的是哪種方式,企業數據的大門都已經敞開在組織的控制范圍之外。
絕大多數員工將從其有線電視提供商處獲取Internet服務。但是對其中許多員工來說,電纜調制解調器(CM)會始終以默認管理員憑據的形式存放于壁櫥中(或電纜接收器頂部),直至某天不幸被雷擊中。
電纜調制解調器(CM)是在混合光纖/同軸電纜(HFC)網絡上提供雙向IP數據傳輸的用戶端設備。通常來說,電纜調制解調器會使用“admin/admin”甚至“admin/”作為其默認的用戶名/密碼對。即便是不使用這對用戶名/密碼,電纜調制解調器也傾向于使用易被猜中或模糊的默認憑據。企業應該敦促員工立即更改其密碼,并且網絡安全人員也應該準備好幫助他們完成該更改操作。
3. 樹莓派(Raspberry Pi)
樹莓派(Raspberry Pi)是一個信用卡大小的、基于Linux的“卡片電腦”(Single-board Computer,單板機),是為學生計算機編程教育而設計,具備所有PC的基本功能。只需接通電視機和鍵盤,就能執行如電子表格、文字處理、玩游戲、播放高清視頻等著多功能。
Raspberry Pi并不是作為企業計算平臺出售的,的確,它也并非是這樣的平臺。但是,越來越多的機構和企業網絡卻發現自己成了這種小型單板計算機的宿主,因為許多員工出于各種目的將其引入了企業網絡。隨著這些設備的引入,安全漏洞也隨之而來,其中就包括基于默認密碼的重要漏洞。
許多人認為有兩件事可以保護Raspberry Pi免受攻擊。首先,它的主要操作系統是Linux的變體;其次,其用戶往往是知識淵博的愛好者。但不幸的現實是,一旦具有管理員權限的用戶保留默認的“pi/raspberry”憑據時,這兩種方法都無法提供任何保護能力。
一旦發現向Internet開放的Raspberry Pi,默認的憑據和一個簡單的“sudo”就能打開該單板機的root級別,并將其用作入侵網絡其他部分的強大樞軸點。對于Raspberry Pi用戶來說,簡單地添加另一個用于管理工作的帳戶是遠遠不夠的;在將系統連接到任何網絡之前,必須更改默認憑據。
4. MySQL
默認憑據不是僅限于硬件設備才有的問題。軟件和應用程序也應該更改默認憑據。其中最嚴重的一個就是MySQL,因為它完全默認無密碼。
MySQL被嵌入式設備和網絡設備所使用,是中小型企業Web應用程序的常用后端工具。之所以能夠獲得廣泛應用,主要得益于它自身具備的諸多優勢,包括龐大的功能列表以及“免費”的標簽。但是,如果在配置過程中沒有解決好基本的安全問題,那么其總體部署成本就可能會飆升。
通過簡單地Shodan搜索就能夠顯示您的組織中存在多少個MySQL實例。企業組織應該立即針對每一個MySQL實例進行掃描,以獲取并及時更改這些憑據。
5. SNMP Default Community String
SNMP(simple network management protocol ,簡單網絡管理協議)是網絡管理程序(NMS)和代理程序(Agent)之間的通信協議。它規定了在網絡環境中對設備進行管理的統一標準,包括管理框架、公共語言、安全和訪問控制機制。如果SNMP是單向數據路徑,那么不良的默認行為可能會幫助攻擊者進行偵察,而事實確是如此。對安全團隊而言,不幸的是,SNMP的破壞能力遠非如此。
在SNMP的前兩個版本(共有三個)中,唯一的身份驗證嘗試是通過稱為“社區字符串(community string)”的設備進行的。作為一個簡單的文本字符串,社區字符串足以獲得對網絡設備的讀取或讀取/寫入訪問權限。為了讓操作變得更加容易,成千上萬的設備使用了默認的社區字符串“public”,“private”或“write”,而這些默認字符串都從未更改過。
如果攻擊者通過SNMP獲得讀/寫訪問權限,他們不僅可以了解路由器、交換機和其他網絡設備的精確配置,還可以隨意更改這些配置。
盡管SNMP的最新版本提供了更強大的用戶名/密碼身份驗證,但該領域中仍然存在數百萬個安裝了早期SNMP版本的網絡設備。對網絡設備及其SNMP社區字符串的調查研究應該作為企業網絡準備計劃必不可少的一部分。
6. 任何物聯網(IoT)設備
如果您的網絡中包含在今年7月1日前安裝的物聯網設備,那么我們可以合理地對其進行兩個假設。首先,它們具有由供應商設置的用戶名和密碼,并且該用戶名/密碼對應該是眾所周知的類型;其次,更改用戶名和密碼介于困難與不可能之間。
當然,這兩個假設都有例外,但這是針對絕大多數物聯網設備的假設。而且由于第二種假設是出于你對第一假設無能為力,所以外部保護是你唯一的安全選擇。
事實上,外部保護大致分三步走:首先,你應該對網絡進行調查,以了解您的計算團隊中到底存在多少這樣(今年7月1日前安裝)的物聯網設備;然后,你應該嘗試找出每個設備的默認憑據,即便我們可能做不了什么,但是了解登錄字符串可以幫助安全分析人員了解許多攻擊探測的目的。
最后,你應該將設備的合法端口和目標地址列入白名單。注意,許多物聯網設備在相當廣泛的范圍內使用了臨時端口分配。盡管如此,了解“真實”流量的特征將幫助您及時注意到旨在針對您的物聯網設備的探測和接管嘗試。
立法進行時
2018年,美國加州法律新法規定,從路由器到智能家居技術在該州建造的每個新設備都必須具有開箱即用的“合理”安全功能,法律特別要求每個設備都帶有“每個設備獨有的”預編程密碼。它還要求任何新設備“包含一個安全功能,要求用戶在首次授予設備訪問權限之前生成新的身份驗證方法”,在第一次打開是強制用戶將其唯一密碼更改為新的密碼。
可以說,該新法為保證網絡安全邁出了一小步,但卻無法解決更廣泛的安全問題。面對此類問題,還需要供應商、企業、用戶、政府等多方面的共同努力。而作為普通用戶的我們,能做的就是加強安全意識,盡早更改那些留存已久的默認配置,行動起來吧!
本文翻譯自:https://www.darkreading.com/edge/theedge/6-dangerous-defaults-attackers-love-(and-you-should-know)/b/d-id/1338571?page_number=7如若轉載,請注明原文地址
