默认配置可能会有很多安全漏洞。为了您的网络安全,以下是6种需要仔细检查的产品和服务。
当涉及到连接到企业网络的设备时,“开箱即用”看起来就像一个诱人的承诺,但殊不知,其同时也是危险所在。试想一下,设备能够在无需人工干预的情况下处理所有网络协议和握手,这看似非常方便高效,但是,当人们沉浸在“开箱即用”当忘记改变一些众所周知的默认设置时,这种便利很快就会演变成一个致命的漏洞。
当谈到危险的默认设置时,大多数人会立即想到管理员的账户名和密码。毫无疑问,如果这些设备上的默认凭证在初始配置期间没有更改(几乎每个供应商都建议您更改默认设置),它们很可能会演变成一个重大的安全漏洞。几年前,臭名昭著的 Mirai 僵尸网络将成千上万的设备拖到目标上Dyn(一家为主网站提供域名服务的网络公司),通过使 Dyn域名无法正常分析,导致其他依赖其服务的网站无法访问,导致大面积网络瘫痪。简单的 Mirai 造成如此大规模损失的主要原因是使用了设备默认的简单密码。
但事实上,除管理员账户和密码外,还有其他配置项目,也存在严重的安全隐患。
在无数的事件中,我们发现云服务或应用程序的默认配置也会对基础设施和数据构成攻击威胁。Docker Hub丢失的19万个账户的密钥和令牌是攻击者利用云环境中的密钥和令牌存储的弱安全配置的结果。
在详细介绍一些安全专业人员应注意的默认配置之前,我们必须毫无保留地说,默认用户名或密码不应在初始设置会话中继续存在。在一个理想化的世界里,只要配置脚本允许,每个设置服务、应用程序或硬件设备的人员都会更改管理员的用户名和密码。因此,我可以认为,如果默认配置漏洞仍然存在,则表明在此过程中存在问题。
但管如此,人类-人类参与创造的过程总是不可避免的。为了防止此类人员或流程故障发生在您的组织中,请在网络扫描中找到以下6种产品和服务。请记住,如果你能找到它们,它们就充满了“求知欲”技能超群的黑客更容易通过Shodan发现它们,然后进行攻击。
1.Cisco Configuration Professional
Cisco Configuration Professional(Cisco CP)用于思维接入路由器GUI型设备管理工具。该工具简单易用GUI路由、防火墙、IPS、私人虚拟网络、统一通信、广域网和局域网配置络、统一通信、广域网和局域网配置更容易部署路由器。此外,该产品还提供了一键式路由器锁定和创新的语音和安全审计功能,可用于检查路由器配置并提出更改建议。同时,它还可以监控路由器的状态,并诊断广域网和虚拟专用网络之间的连接问题。
Cisco CP提供的设备有默认设置,但大多数使用该程序的用户都有默认设置““ cisco / cisco”用户名和密码已更改为符合其组织策略的名称。如果忽略了这一步,很可能会在未来造成非常严重的问题。因为作为一个极其强大的程序,攻击者也可以使用恶意攻击。
该程序最危险的场景是将默认配置留在管理员系统(或其他具有管理特权的系统)上,而不设置新的、安全的证据。
2.电缆调制解调器(Cable Modem,CM)
如今,员工的家庭网络已经成为企业网络的一部分。只要员工晚上把工作带回家,这种情况就成立了。无论他们是在公司提供的计算机上工作,还是在自己的家庭系统上工作,都是如此。无论采用何种方式,企业数据的大门都已经超出了组织的控制范围。
绝大多数员工将从其有线电视提供商那里获取Internet但对许多员工来说,电缆调制解调器(CM)壁橱(或电缆接收器顶部)将始终以默认管理员凭证的形式存放,直到有一天被雷击中。
电缆调制解调器(CM)混合光纤/同轴电缆(HFC)提供双向网络IP用户端设备的数据传输。一般来说,电缆调制解调器会使用“admin/admin”甚至“admin/”作为其默认用户名/密码正确。即使不使用这对用户名/密码,电缆调制器也倾向于使用易于猜测或模糊的默认凭证。企业应敦促员工立即更改密码,网络安全人员应准备好帮助他们完成更改操作。
3.树莓派(Raspberry Pi)
树莓派(Raspberry Pi)基于信用卡大小的信用卡Linux的“卡片电脑”(Single-board Computer,单板机)是为学生计算机编程教育而设计的,拥有一切PC基本功能。只需连接电视和键盘,就可以执行多功能,如电子表格、文字处理、玩游戏、播放高清视频等。
Raspberry Pi它不是作为一个企业计算平台出售的。事实上,它不是这样一个平台。然而,越来越多的机构和企业网络发现自己已经成为这种小型单板计算机的宿主,因为许多员工出于各种目的将其引入企业网络。随着这些设备的引入,安全漏洞也随之而来,包括基于默认密码的重要漏洞。
很多人认为有两件事可以保护Raspberry Pi免受攻击。首先,它的主要操作系统是Linux变体;其次,用户往往是知识渊博的爱好者。但不幸的是,一旦拥有管理员权限的用户保持默认“pi/raspberry”这两种方法都不能提供任何保护能力。
一旦发现向Internet开放的Raspberry Pi,默认证据和简单证据“sudo”可打开单板机root等级,并将其用作入侵网络其他部分的强大枢轴点。Raspberry Pi对于用户来说,简单地添加另一个用于管理的账户是不够的;在将系统连接到任何网络之前,必须更改默认凭证。
4.MySQL
默认凭证不仅限于硬件设备。软件和应用程序也应更改默认凭证。最严重的是MySQL,因为它完全默认没有密码。
MySQL中小企业采用嵌入式设备和网络设备Web应用程序中常用的后端工具。之所以能得到广泛的应用,主要是因为它有很多优点,包括庞大的功能列表和“免费”标签。但是,如果基本安全问题在配置过程中得不到很好的解决,其整体部署成本可能会飙升。
通过简单地Shodan搜索可以显示你的组织中有多少个MySQL例子。企业组织应立即针对每一个MySQL扫描实例,以获取并及时更改这些凭证。
5.SNMP Default Community String
SNMP(simple network management protocol ,简单的网络管理协议)是网络管理程序(NMS)和代理程序(Agent)通信协议的通信协议。它规定了在网络环境中管理设备的统一标准,包括管理框架、公共语言、安全和访问控制机制。SNMP如果是单向数据路径,那么不良的默认行为可能会帮助攻击者进行侦察,但事实确实如此。对于安全团队来说,不幸的是,SNMP破坏能力远非如此。
在SNMP在前两个版本中,唯一的身份验证尝试被称为“社区字符串(community string)”设备。社区字符串作为一个简单的文本字符串,足以获得网络设备的读取或读取/写入访问权限。为了使操作更容易,成千上万的设备使用默认的社区字符串“public”,“private”或“write”,这些默认字符串从未改变。
若攻击者通过SNMP他们不仅可以了解路由器、交换机和其他网络设备的准确配置,还可以随意更改这些配置。
尽管SNMP最新版本提供了更强大的用户名/密码身份验证,但该领域仍有数百万个早期安装SNMP网络设备版本。网络设备及其SNMP社区字符串的调查研究应作为企业网络准备计划的重要组成部分。
6.任何物联网(IoT)设备
如果您的网络包含今年7月1日前安装的物联网设备,我们可以合理假设两个。首先,它们有供应商设置的用户名和密码,用户名/密码应该是众所周知的类型;其次,在困难和不可能之间更改用户名和密码。
当然,这两个假设都有例外,但这是绝大多数物联网设备的假设。因为第二个假设是因为你对第一个假设无能为力,外部保护是你唯一的安全选择。
事实上,外部保护大致分为三个步骤:首先,你应该调查网络,了解你的计算团队中有多少物联网设备(安装在今年7月1日之前);然后,你应该试着找到每个设备的默认凭证,即使我们可能什么也做不了,了解登录字符串可以帮助安全分析师了解许多攻击检测的目的。
最后,您应该将设备的合法端口和目标地址列入白名单。请注意,许多物联网设备已广泛应用于临时端口分配。然而,理解“真实”流量的特点将帮助您及时注意物联网设备的检测和接管尝试。
立法进行时
20182000年,定,从路由器到智能家居技术在该州建造的每一种新设备都必须开箱即用“合理”法律特别要求每个设备都具有安全功能“每个设备都是独一无二的”预编程密码。它还需要任何新设备“它包含一个安全功能,要求用户在首次授予设备访问权之前生成新的身份验证方法”,第一次打开是强制用户将其唯一的密码更改为新密码。
可以说,新法为确保网络安全迈出了一小步,但不能解决更广泛的安全问题。面对这些问题,供应商、企业、用户、政府等方面也需要共同努力。作为普通用户,我们所能做的就是加强安全意识,尽快改变那些长期保留的默认配置,采取行动!
本文翻译自:https://www.darkreading.com/edge/theedge/6-dangerous-defaults-attackers-love-(and-you-should-know)/b/d-id/1338571?page_number=7如果转载,请注明原始地址