默认配置可能会存在大量安全漏洞。为了您的网络安全,以下是6个需要慎重检查的产品和服务。
当提及连接至企业网络的设备时,“开箱即用”看起来就像一个诱人的承诺,但殊不知,其同时也是危险所在。试想一下,设备能够在无需人工干预的情况下处理所有网络协议和握手,这看似非常方便高效,但是,当人们沉浸在“开箱即用”带来的便利中无法自拔,而忘却更改一些众所周知的默认设置时,这种便捷性很快就会演变成一个致命的漏洞。
当提及危险的默认设置时,大多数人第一时间就会想到管理员账户名和密码。毫无疑问,如果在初始配置期间未曾更改过这些设备上的默认凭据(几乎每个供应商都会建议您更改默认设置),那么它们很可能会演变成重大的安全漏洞。几年前,臭名昭著的 Mirai 僵尸网络将成千上万的设备拖到了目标Dyn(一家为主要网站提供域名服务的网络公司),通过使 Dyn无法正常解析域名,导致其它依赖其服务的网站也无法访问,造成在大面积的网络瘫痪。简单的 Mirai 之所以能够造成如此大规模的损失,很大原因就在于利用了设备默认的简单密码。
但其实,除了管理员账户和密码之外,还存在其他一些配置项目,同样存在严重的安全隐患。
在数不胜数的事件中,我们发现,云服务或应用程序的默认配置同样会使基础架构和数据面临攻击威胁。例如,Docker Hub丢失的19万个帐户的密钥和令牌就是攻击者利用云环境中的密钥和令牌存储的弱安全配置的结果。
在详细介绍安全专业人员应该注意的一些默认配置之前,我们必须毫无保留地说,默认的用户名或密码绝不应该在初始设置会话中继续存在。在一个理想化的世界中,只要配置脚本允许,每个设置服务、应用程序或硬件设备的人员都会更改管理员用户名和密码,因此我可以认为,如果接下来还是出现了默认配置漏洞,就说明该过程中出现了问题。
不过话虽如此,人类-以及人类参与创造的过程总是无法避免错误的存在。为防您的组织中也存在此类人员或流程故障,请在网络扫描中寻找如下6款产品和服务。请记住,如果您能够找到它们,那么充满“求知欲”的技能超群的黑客更是能够轻松地通过Shodan发现它们,进而实施攻击活动。
1. Cisco Configuration Professional
Cisco Configuration Professional(Cisco CP)是用于思科接入路由器的GUI型设备管理工具。该工具通过简单易用的GUI向导,简化了路由、防火墙、IPS、虚拟专用网络、统一通信、广域网和局域网配置,网络管理员和渠道合作伙伴可以用它更加轻松地部署路由器。此外,该产品还提供了一键式路由器锁定以及创新的语音和安全审核功能,可用于检查路由器配置并提出更改建议。同时,它还可以监控路由器的状态,并对广域网和虚拟专用网连接问题进行故障诊断。
Cisco CP提供的设备有默认设置,但是,大多数使用该程序的用户都已经将默认的““ cisco / cisco”用户名和密码更改成了符合其组织策略的名称。如果忽略了这一步骤,那么未来很可能会引发非常严重的问题。因为作为一款功能极其强大的程序,同样能够为攻击者所用来实施恶意攻击活动。
涉及该程序最为危险的场景就是将默认配置留在管理员系统(或具有管理特权的其它系统)上,而没有设置全新的、安全的凭据。
2. 电缆调制解调器(Cable Modem,CM)
如今,员工的家庭网络已经成为了企业网络的一部分,只要员工晚上将工作带回家完成,这种情况就是成立的。无论他们是在公司提供的计算机上还是在自己的家庭系统上进行工工作,都是如此。无论具体采取的是哪种方式,企业数据的大门都已经敞开在组织的控制范围之外。
绝大多数员工将从其有线电视提供商处获取Internet服务。但是对其中许多员工来说,电缆调制解调器(CM)会始终以默认管理员凭据的形式存放于壁橱中(或电缆接收器顶部),直至某天不幸被雷击中。
电缆调制解调器(CM)是在混合光纤/同轴电缆(HFC)网络上提供双向IP数据传输的用户端设备。通常来说,电缆调制解调器会使用“admin/admin”甚至“admin/”作为其默认的用户名/密码对。即便是不使用这对用户名/密码,电缆调制解调器也倾向于使用易被猜中或模糊的默认凭据。企业应该敦促员工立即更改其密码,并且网络安全人员也应该准备好帮助他们完成该更改操作。
3. 树莓派(Raspberry Pi)
树莓派(Raspberry Pi)是一个信用卡大小的、基于Linux的“卡片电脑”(Single-board Computer,单板机),是为学生计算机编程教育而设计,具备所有PC的基本功能。只需接通电视机和键盘,就能执行如电子表格、文字处理、玩游戏、播放高清视频等著多功能。
Raspberry Pi并不是作为企业计算平台出售的,的确,它也并非是这样的平台。但是,越来越多的机构和企业网络却发现自己成了这种小型单板计算机的宿主,因为许多员工出于各种目的将其引入了企业网络。随着这些设备的引入,安全漏洞也随之而来,其中就包括基于默认密码的重要漏洞。
许多人认为有两件事可以保护Raspberry Pi免受攻击。首先,它的主要操作系统是Linux的变体;其次,其用户往往是知识渊博的爱好者。但不幸的现实是,一旦具有管理员权限的用户保留默认的“pi/raspberry”凭据时,这两种方法都无法提供任何保护能力。
一旦发现向Internet开放的Raspberry Pi,默认的凭据和一个简单的“sudo”就能打开该单板机的root级别,并将其用作入侵网络其他部分的强大枢轴点。对于Raspberry Pi用户来说,简单地添加另一个用于管理工作的帐户是远远不够的;在将系统连接到任何网络之前,必须更改默认凭据。
4. MySQL
默认凭据不是仅限于硬件设备才有的问题。软件和应用程序也应该更改默认凭据。其中最严重的一个就是MySQL,因为它完全默认无密码。
MySQL被嵌入式设备和网络设备所使用,是中小型企业Web应用程序的常用后端工具。之所以能够获得广泛应用,主要得益于它自身具备的诸多优势,包括庞大的功能列表以及“免费”的标签。但是,如果在配置过程中没有解决好基本的安全问题,那么其总体部署成本就可能会飙升。
通过简单地Shodan搜索就能够显示您的组织中存在多少个MySQL实例。企业组织应该立即针对每一个MySQL实例进行扫描,以获取并及时更改这些凭据。
5. SNMP Default Community String
SNMP(simple network management protocol ,简单网络管理协议)是网络管理程序(NMS)和代理程序(Agent)之间的通信协议。它规定了在网络环境中对设备进行管理的统一标准,包括管理框架、公共语言、安全和访问控制机制。如果SNMP是单向数据路径,那么不良的默认行为可能会帮助攻击者进行侦察,而事实确是如此。对安全团队而言,不幸的是,SNMP的破坏能力远非如此。
在SNMP的前两个版本(共有三个)中,唯一的身份验证尝试是通过称为“社区字符串(community string)”的设备进行的。作为一个简单的文本字符串,社区字符串足以获得对网络设备的读取或读取/写入访问权限。为了让操作变得更加容易,成千上万的设备使用了默认的社区字符串“public”,“private”或“write”,而这些默认字符串都从未更改过。
如果攻击者通过SNMP获得读/写访问权限,他们不仅可以了解路由器、交换机和其他网络设备的精确配置,还可以随意更改这些配置。
尽管SNMP的最新版本提供了更强大的用户名/密码身份验证,但该领域中仍然存在数百万个安装了早期SNMP版本的网络设备。对网络设备及其SNMP社区字符串的调查研究应该作为企业网络准备计划必不可少的一部分。
6. 任何物联网(IoT)设备
如果您的网络中包含在今年7月1日前安装的物联网设备,那么我们可以合理地对其进行两个假设。首先,它们具有由供应商设置的用户名和密码,并且该用户名/密码对应该是众所周知的类型;其次,更改用户名和密码介于困难与不可能之间。
当然,这两个假设都有例外,但这是针对绝大多数物联网设备的假设。而且由于第二种假设是出于你对第一假设无能为力,所以外部保护是你唯一的安全选择。
事实上,外部保护大致分三步走:首先,你应该对网络进行调查,以了解您的计算团队中到底存在多少这样(今年7月1日前安装)的物联网设备;然后,你应该尝试找出每个设备的默认凭据,即便我们可能做不了什么,但是了解登录字符串可以帮助安全分析人员了解许多攻击探测的目的。
最后,你应该将设备的合法端口和目标地址列入白名单。注意,许多物联网设备在相当广泛的范围内使用了临时端口分配。尽管如此,了解“真实”流量的特征将帮助您及时注意到旨在针对您的物联网设备的探测和接管尝试。
立法进行时
2018年,美国加州法律新法规定,从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能,法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,在第一次打开是强制用户将其唯一密码更改为新的密码。
可以说,该新法为保证网络安全迈出了一小步,但却无法解决更广泛的安全问题。面对此类问题,还需要供应商、企业、用户、政府等多方面的共同努力。而作为普通用户的我们,能做的就是加强安全意识,尽早更改那些留存已久的默认配置,行动起来吧!