默認(rèn)配置可能會(huì)存在大量安全漏洞。為了您的網(wǎng)絡(luò)安全，以下是6個(gè)需要慎重檢查的產(chǎn)品和服務(wù)。

[[344731]]

當(dāng)提及連接至企業(yè)網(wǎng)絡(luò)的設(shè)備時(shí)，“開箱即用”看起來就像一個(gè)誘人的承諾，但殊不知，其同時(shí)也是危險(xiǎn)所在。試想一下，設(shè)備能夠在無需人工干預(yù)的情況下處理所有網(wǎng)絡(luò)協(xié)議和握手，這看似非常方便高效，但是，當(dāng)人們沉浸在“開箱即用”帶來的便利中無法自拔，而忘卻更改一些眾所周知的默認(rèn)設(shè)置時(shí)，這種便捷性很快就會(huì)演變成一個(gè)致命的漏洞。

當(dāng)提及危險(xiǎn)的默認(rèn)設(shè)置時(shí)，大多數(shù)人第一時(shí)間就會(huì)想到管理員賬戶名和密碼。毫無疑問，如果在初始配置期間未曾更改過這些設(shè)備上的默認(rèn)憑據(jù)(幾乎每個(gè)供應(yīng)商都會(huì)建議您更改默認(rèn)設(shè)置)，那么它們很可能會(huì)演變成重大的安全漏洞。幾年前，臭名昭著的 Mirai 僵尸網(wǎng)絡(luò)將成千上萬的設(shè)備拖到了目標(biāo)Dyn(一家為主要網(wǎng)站提供域名服務(wù)的網(wǎng)絡(luò)公司)，通過使 Dyn無法正常解析域名，導(dǎo)致其它依賴其服務(wù)的網(wǎng)站也無法訪問，造成在大面積的網(wǎng)絡(luò)癱瘓。簡(jiǎn)單的 Mirai 之所以能夠造成如此大規(guī)模的損失，很大原因就在于利用了設(shè)備默認(rèn)的簡(jiǎn)單密碼。

但其實(shí)，除了管理員賬戶和密碼之外，還存在其他一些配置項(xiàng)目，同樣存在嚴(yán)重的安全隱患。

在數(shù)不勝數(shù)的事件中，我們發(fā)現(xiàn)，云服務(wù)或應(yīng)用程序的默認(rèn)配置同樣會(huì)使基礎(chǔ)架構(gòu)和數(shù)據(jù)面臨攻擊威脅。例如，Docker Hub丟失的19萬個(gè)帳戶的密鑰和令牌就是攻擊者利用云環(huán)境中的密鑰和令牌存儲(chǔ)的弱安全配置的結(jié)果。

在詳細(xì)介紹安全專業(yè)人員應(yīng)該注意的一些默認(rèn)配置之前，我們必須毫無保留地說，默認(rèn)的用戶名或密碼絕不應(yīng)該在初始設(shè)置會(huì)話中繼續(xù)存在。在一個(gè)理想化的世界中，只要配置腳本允許，每個(gè)設(shè)置服務(wù)、應(yīng)用程序或硬件設(shè)備的人員都會(huì)更改管理員用戶名和密碼，因此我可以認(rèn)為，如果接下來還是出現(xiàn)了默認(rèn)配置漏洞，就說明該過程中出現(xiàn)了問題。

不過話雖如此，人類-以及人類參與創(chuàng)造的過程總是無法避免錯(cuò)誤的存在。為防您的組織中也存在此類人員或流程故障，請(qǐng)?jiān)诰W(wǎng)絡(luò)掃描中尋找如下6款產(chǎn)品和服務(wù)。請(qǐng)記住，如果您能夠找到它們，那么充滿“求知欲”的技能超群的黑客更是能夠輕松地通過Shodan發(fā)現(xiàn)它們，進(jìn)而實(shí)施攻擊活動(dòng)。

1. Cisco Configuration Professional

Cisco Configuration Professional(Cisco CP)是用于思科接入路由器的GUI型設(shè)備管理工具。該工具通過簡(jiǎn)單易用的GUI向?qū)?，?jiǎn)化了路由、防火墻、IPS、虛擬專用網(wǎng)絡(luò)、統(tǒng)一通信、廣域網(wǎng)和局域網(wǎng)配置，網(wǎng)絡(luò)管理員和渠道合作伙伴可以用它更加輕松地部署路由器。此外，該產(chǎn)品還提供了一鍵式路由器鎖定以及創(chuàng)新的語(yǔ)音和安全審核功能，可用于檢查路由器配置并提出更改建議。同時(shí)，它還可以監(jiān)控路由器的狀態(tài)，并對(duì)廣域網(wǎng)和虛擬專用網(wǎng)連接問題進(jìn)行故障診斷。

Cisco CP提供的設(shè)備有默認(rèn)設(shè)置，但是，大多數(shù)使用該程序的用戶都已經(jīng)將默認(rèn)的““ cisco / cisco”用戶名和密碼更改成了符合其組織策略的名稱。如果忽略了這一步驟，那么未來很可能會(huì)引發(fā)非常嚴(yán)重的問題。因?yàn)樽鳛橐豢罟δ軜O其強(qiáng)大的程序，同樣能夠?yàn)楣粽咚脕韺?shí)施惡意攻擊活動(dòng)。

涉及該程序最為危險(xiǎn)的場(chǎng)景就是將默認(rèn)配置留在管理員系統(tǒng)(或具有管理特權(quán)的其它系統(tǒng))上，而沒有設(shè)置全新的、安全的憑據(jù)。

2. 電纜調(diào)制解調(diào)器(Cable Modem，CM)

如今，員工的家庭網(wǎng)絡(luò)已經(jīng)成為了企業(yè)網(wǎng)絡(luò)的一部分，只要員工晚上將工作帶回家完成，這種情況就是成立的。無論他們是在公司提供的計(jì)算機(jī)上還是在自己的家庭系統(tǒng)上進(jìn)行工工作，都是如此。無論具體采取的是哪種方式，企業(yè)數(shù)據(jù)的大門都已經(jīng)敞開在組織的控制范圍之外。

絕大多數(shù)員工將從其有線電視提供商處獲取Internet服務(wù)。但是對(duì)其中許多員工來說，電纜調(diào)制解調(diào)器(CM)會(huì)始終以默認(rèn)管理員憑據(jù)的形式存放于壁櫥中(或電纜接收器頂部)，直至某天不幸被雷擊中。

電纜調(diào)制解調(diào)器(CM)是在混合光纖/同軸電纜(HFC)網(wǎng)絡(luò)上提供雙向IP數(shù)據(jù)傳輸?shù)挠脩舳嗽O(shè)備。通常來說，電纜調(diào)制解調(diào)器會(huì)使用“admin/admin”甚至“admin/”作為其默認(rèn)的用戶名/密碼對(duì)。即便是不使用這對(duì)用戶名/密碼，電纜調(diào)制解調(diào)器也傾向于使用易被猜中或模糊的默認(rèn)憑據(jù)。企業(yè)應(yīng)該敦促員工立即更改其密碼，并且網(wǎng)絡(luò)安全人員也應(yīng)該準(zhǔn)備好幫助他們完成該更改操作。

3. 樹莓派(Raspberry Pi)

樹莓派(Raspberry Pi)是一個(gè)信用卡大小的、基于Linux的“卡片電腦”(Single-board Computer，單板機(jī))，是為學(xué)生計(jì)算機(jī)編程教育而設(shè)計(jì)，具備所有PC的基本功能。只需接通電視機(jī)和鍵盤，就能執(zhí)行如電子表格、文字處理、玩游戲、播放高清視頻等著多功能。

Raspberry Pi并不是作為企業(yè)計(jì)算平臺(tái)出售的，的確，它也并非是這樣的平臺(tái)。但是，越來越多的機(jī)構(gòu)和企業(yè)網(wǎng)絡(luò)卻發(fā)現(xiàn)自己成了這種小型單板計(jì)算機(jī)的宿主，因?yàn)樵S多員工出于各種目的將其引入了企業(yè)網(wǎng)絡(luò)。隨著這些設(shè)備的引入，安全漏洞也隨之而來，其中就包括基于默認(rèn)密碼的重要漏洞。

許多人認(rèn)為有兩件事可以保護(hù)Raspberry Pi免受攻擊。首先，它的主要操作系統(tǒng)是Linux的變體;其次，其用戶往往是知識(shí)淵博的愛好者。但不幸的現(xiàn)實(shí)是，一旦具有管理員權(quán)限的用戶保留默認(rèn)的“pi/raspberry”憑據(jù)時(shí)，這兩種方法都無法提供任何保護(hù)能力。

一旦發(fā)現(xiàn)向Internet開放的Raspberry Pi，默認(rèn)的憑據(jù)和一個(gè)簡(jiǎn)單的“sudo”就能打開該單板機(jī)的root級(jí)別，并將其用作入侵網(wǎng)絡(luò)其他部分的強(qiáng)大樞軸點(diǎn)。對(duì)于Raspberry Pi用戶來說，簡(jiǎn)單地添加另一個(gè)用于管理工作的帳戶是遠(yuǎn)遠(yuǎn)不夠的;在將系統(tǒng)連接到任何網(wǎng)絡(luò)之前，必須更改默認(rèn)憑據(jù)。

4. MySQL

默認(rèn)憑據(jù)不是僅限于硬件設(shè)備才有的問題。軟件和應(yīng)用程序也應(yīng)該更改默認(rèn)憑據(jù)。其中最嚴(yán)重的一個(gè)就是MySQL，因?yàn)樗耆J(rèn)無密碼。

MySQL被嵌入式設(shè)備和網(wǎng)絡(luò)設(shè)備所使用，是中小型企業(yè)Web應(yīng)用程序的常用后端工具。之所以能夠獲得廣泛應(yīng)用，主要得益于它自身具備的諸多優(yōu)勢(shì)，包括龐大的功能列表以及“免費(fèi)”的標(biāo)簽。但是，如果在配置過程中沒有解決好基本的安全問題，那么其總體部署成本就可能會(huì)飆升。

通過簡(jiǎn)單地Shodan搜索就能夠顯示您的組織中存在多少個(gè)MySQL實(shí)例。企業(yè)組織應(yīng)該立即針對(duì)每一個(gè)MySQL實(shí)例進(jìn)行掃描，以獲取并及時(shí)更改這些憑據(jù)。

5. SNMP Default Community String

SNMP(simple network management protocol ，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)是網(wǎng)絡(luò)管理程序(NMS)和代理程序(Agent)之間的通信協(xié)議。它規(guī)定了在網(wǎng)絡(luò)環(huán)境中對(duì)設(shè)備進(jìn)行管理的統(tǒng)一標(biāo)準(zhǔn)，包括管理框架、公共語(yǔ)言、安全和訪問控制機(jī)制。如果SNMP是單向數(shù)據(jù)路徑，那么不良的默認(rèn)行為可能會(huì)幫助攻擊者進(jìn)行偵察，而事實(shí)確是如此。對(duì)安全團(tuán)隊(duì)而言，不幸的是，SNMP的破壞能力遠(yuǎn)非如此。

在SNMP的前兩個(gè)版本(共有三個(gè))中，唯一的身份驗(yàn)證嘗試是通過稱為“社區(qū)字符串(community string)”的設(shè)備進(jìn)行的。作為一個(gè)簡(jiǎn)單的文本字符串，社區(qū)字符串足以獲得對(duì)網(wǎng)絡(luò)設(shè)備的讀取或讀取/寫入訪問權(quán)限。為了讓操作變得更加容易，成千上萬的設(shè)備使用了默認(rèn)的社區(qū)字符串“public”，“private”或“write”，而這些默認(rèn)字符串都從未更改過。

如果攻擊者通過SNMP獲得讀/寫訪問權(quán)限，他們不僅可以了解路由器、交換機(jī)和其他網(wǎng)絡(luò)設(shè)備的精確配置，還可以隨意更改這些配置。

盡管SNMP的最新版本提供了更強(qiáng)大的用戶名/密碼身份驗(yàn)證，但該領(lǐng)域中仍然存在數(shù)百萬個(gè)安裝了早期SNMP版本的網(wǎng)絡(luò)設(shè)備。對(duì)網(wǎng)絡(luò)設(shè)備及其SNMP社區(qū)字符串的調(diào)查研究應(yīng)該作為企業(yè)網(wǎng)絡(luò)準(zhǔn)備計(jì)劃必不可少的一部分。

6. 任何物聯(lián)網(wǎng)(IoT)設(shè)備

如果您的網(wǎng)絡(luò)中包含在今年7月1日前安裝的物聯(lián)網(wǎng)設(shè)備，那么我們可以合理地對(duì)其進(jìn)行兩個(gè)假設(shè)。首先，它們具有由供應(yīng)商設(shè)置的用戶名和密碼，并且該用戶名/密碼對(duì)應(yīng)該是眾所周知的類型;其次，更改用戶名和密碼介于困難與不可能之間。

當(dāng)然，這兩個(gè)假設(shè)都有例外，但這是針對(duì)絕大多數(shù)物聯(lián)網(wǎng)設(shè)備的假設(shè)。而且由于第二種假設(shè)是出于你對(duì)第一假設(shè)無能為力，所以外部保護(hù)是你唯一的安全選擇。

事實(shí)上，外部保護(hù)大致分三步走：首先，你應(yīng)該對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)查，以了解您的計(jì)算團(tuán)隊(duì)中到底存在多少這樣(今年7月1日前安裝)的物聯(lián)網(wǎng)設(shè)備;然后，你應(yīng)該嘗試找出每個(gè)設(shè)備的默認(rèn)憑據(jù)，即便我們可能做不了什么，但是了解登錄字符串可以幫助安全分析人員了解許多攻擊探測(cè)的目的。

最后，你應(yīng)該將設(shè)備的合法端口和目標(biāo)地址列入白名單。注意，許多物聯(lián)網(wǎng)設(shè)備在相當(dāng)廣泛的范圍內(nèi)使用了臨時(shí)端口分配。盡管如此，了解“真實(shí)”流量的特征將幫助您及時(shí)注意到旨在針對(duì)您的物聯(lián)網(wǎng)設(shè)備的探測(cè)和接管嘗試。

立法進(jìn)行時(shí)

2018年，美國(guó)加州法律新法規(guī)定，從路由器到智能家居技術(shù)在該州建造的每個(gè)新設(shè)備都必須具有開箱即用的“合理”安全功能，法律特別要求每個(gè)設(shè)備都帶有“每個(gè)設(shè)備獨(dú)有的”預(yù)編程密碼。它還要求任何新設(shè)備“包含一個(gè)安全功能，要求用戶在首次授予設(shè)備訪問權(quán)限之前生成新的身份驗(yàn)證方法”，在第一次打開是強(qiáng)制用戶將其唯一密碼更改為新的密碼。

可以說，該新法為保證網(wǎng)絡(luò)安全邁出了一小步，但卻無法解決更廣泛的安全問題。面對(duì)此類問題，還需要供應(yīng)商、企業(yè)、用戶、政府等多方面的共同努力。而作為普通用戶的我們，能做的就是加強(qiáng)安全意識(shí)，盡早更改那些留存已久的默認(rèn)配置，行動(dòng)起來吧!