的默认配置可能存在大量安全漏洞。为了您的在线安全,这里有6种产品和服务需要仔细检查。对于连接到公司网络的设备,“开箱即用”似乎是一个诱人的承诺,但它也可能很危险。试想一下,一个设备可以在没有人为干预的情况下处理所有的网络协议和握手,这看起来非常方便和高效,但是当人们沉浸在“开箱即用”带来的便利时,却忘了改变一些,这种便利可以快速转向当它是一个众所周知的默认值时,就会变成一个致命的漏洞。谈到危险的默认设置,大多数人会立即想到管理员帐户名和密码。毫无疑问,如果这些设备上的默认凭据在初始配置期间没有更改(几乎每个供应商都建议您这样做),它们可能会变成主要的安全漏洞。几年前,臭名昭著的Mirai僵尸网络将数千台设备拖到目标Dyn(一家为各大网站提供域名服务的互联网公司),通过让Dyn无法正常解析域名,其他依赖其服务的网站就可以无法访问,造成大范围网络瘫痪。simpleMirai之所以能够造成如此大规模的破坏,很大程度上是因为使用了设备默认的simple密码。但实际上,除了管理员账号和密码外,还有其他配置项,同样存在严重的安全隐患。在无数实例中,我们发现云服务或应用程序的默认配置也会将基础设施和数据暴露给攻击。例如,DockerHub中190,000个帐户的密钥和令牌丢失是攻击者利用云环境中密钥和令牌存储的薄弱安全配置造成的。在详细说明安全专业人员应该注意的一些默认配置之前,我们必须毫无保留地说默认用户名或密码永远不会在初始设置会话中保留下来。在理想情况下,只要配置脚本允许,设置服务、应用程序或硬件设备的每个人都会更改管理员用户名和密码,因此我可以假设如果默认配置稍后泄漏,则意味着出了点问题在这个过程中。但话虽如此,人类——以及人类参与创造过程总是难免会犯错误。如果您的组织中存在此类人员或流程故障,请在您的网络扫描中查找以下6种产品和服务。请记住,如果您能找到它们,“饥饿”的熟练黑客将更容易通过Shodan发现它们并进行攻击。1.CiscoConfigurationProfessionalCiscoConfigurationProfessional(CiscoCP)是一个基于GUI的思科接入路由器设备管理工具。该工具通过易于使用的GUI向导简化了路由、防火墙、IPS、专用虚拟网络、统一通信、WAN和LAN配置,使网络管理员和渠道合作伙伴更容易部署路由器。此外,该产品还提供一键式路由器锁定和创新的语音和安全审计功能,可用于审查路由器配置并提出更改建议。同时,它可以监控路由器的状态并解决WAN和VPN连接问题。随CiscoCP提供的设备具有默认设置,但是,该程序的大多数用户已经将默认的“cisco/cisco”用户名和密码更改为符合其组织策略的用户名和密码。如果省略了这一步,以后很可能会造成非常严重的问题。因为它是一个极其强大的程序,它也可以被攻击者用来进行恶意攻击。涉及此程序的最危险情况是在管理员系统(或其他具有管理权限的系统)上保留默认配置,而不设置新的、安全的凭据。2.电缆调制解调器(CM)今天,员工的家庭网络已经成为公司网络的一部分,只要员工晚上把工作带回来工作,无论他们是在公司提供的计算机上工作还是在自己的电脑上工作都是如此自己的家庭系统。无论哪种方式,企业数据的大门都是敞开的。在组织的控制之外。绝大多数员工将从有线电视提供商那里获得互联网服务。但对于他们中的许多人来说,电缆调制解调器(CM)将始终藏在带有默认管理员凭据的壁橱中(或电缆接收器的顶部),直到有一天被闪电击中。电缆调制解调器(CM)是一种客户端设备,它通过混合光纤/同轴电缆(HFC)提供双向IP数据传输,将使用“admin/admin”甚至“admin/”作为其默认用户名/密码对。即使没有这个用户名/密码对,电缆调制解调器也倾向于使用可猜测或模糊的默认凭证。应敦促企业员工立即更改密码,网络安全人员应随时准备帮助他们这样做。3、树莓派(RaspberryPi)树莓派(RaspberryPi)是一款信用卡大小、基于Linux的“卡片计算机”(Single-boardComputer,单板计算机),专为学生的计算机编程教育而设计。适用于所有PC的基本功能。只需插上电视和键盘,即可实现电子表格、文字处理、玩游戏、播放高清视频等多项功能。RaspberryPi不作为企业计算平台出售,也无意作为。然而,越来越多的机构和企业网络发现自己托管这些小型单板计算机,因为许多员工出于各种目的将它们带入企业网络。随着这些设备的推出,出现了安全漏洞,包括基于默认密码的重要漏洞。许多人认为有两件事可以保护RaspberryPi免受攻击。首先,它的主要操作系统是Linux的一个变种;其次,它的用户往往是知识渊博的爱好者。但不幸的是,一旦具有管理员权限的用户保留默认的“pi/raspberry”凭据,这些方法都不会提供任何保护。一旦发现RaspberryPi对Internet开放,默认凭据和简单的“sudo”就可以将单板计算机打开到根级别,并将其用作强大的支点来侵入网络的其他部分。对于RaspberryPi用户,仅仅添加另一个帐户进行管理工作是不够的;在将系统连接到任何网络之前,必须更改默认凭据。4.MySQL默认凭据不限于硬件设备。软件和应用程序还应更改默认凭据。其中最糟糕的一个是MySQL,因为它完全默认为无密码。MySQL被嵌入式设备和网络设备使用,是中小型企业Web应用程序的常用后端工具。它之所以能够被广泛使用,主要是因为它有很多优点,包括庞大的功能列表和“免费”的标签。但是,如果在配置期间未解决基本的安全问题,则部署的总体成本可能会飙升。一个简单的Shodan搜索可以揭示您的组织中存在多少个MySQL实例。组织应立即扫描每个MySQL实例并及时更改这些凭据。5.SNMPDefaultCommunityStringSNMP(简单网络管理协议,simplenetworkmanagementprotocol)是网络管理程序(NMS)和代理程序(Agent)之间的一种通信协议。它规定了在网络环境中管理设备的统一标准,包括管理框架、通用语言、安全和访问控制机制。如果SNMP是一种单向数据路径,那么错误的默认行为可能会帮助攻击者进行侦察,事实确实如此。不幸的是,对于安全团队而言,SNMP远非破坏性的。在SNMP的前两个版本(一共有三个)中,唯一的身份验证尝试是通过称为“社区字符串”的设备。作为一个简单的文本字符串,社区字符串足以获得对网络设备的读取或读/写访问权限。为了让事情变得更简单,数以千计的设备使用默认的社区字符串“public”、“private”或“write”,这些都没有改变过。如果攻击者通过SNMP获得读/写访问权限,他们不仅可以了解路由器、交换机和其他网络设备的精确配置,还可以随意更改这些配置。尽管最新版本的SNMP提供了更强大的用户名/密码身份验证,但现场仍有数百万网络设备安装了早期版本的SNMP。网络设备及其SNMP社区字符串的调查应该是企业网络准备计划的一个组成部分。6.任何物联网(IoT)设备如果您的网络包括今年7月1日之前安装的物联网设备,那么我们可以合理地对其做出两个假设。首先,他们有供应商设置的用户名和密码,并且该用户名/密码对应该是众所周知的类型;其次,更改用户名和密码介于困难和不可能之间。当然,这两种假设都有例外,但这是对绝大多数物联网设备的假设。由于第二个假设是基于您对第一个假设无能为力,因此外部保护是您唯一安全的选择。其实外部防护大致可以分为三个步骤:首先,你应该对网络进行一次调查,看看你的计算团队中有多少这样的物联网设备(今年7月1日之前安装的);那么,你应该尝试找到即使我们可能无法对每个设备的默认凭据做很多事情,但了解登录字符串可以帮助安全分析师了解许多攻击探测的目的。最后,您应该将设备的合法端口和目标地址列入白名单。请注意,许多物联网设备在相当大的范围内使用临时端口分配。尽管如此,了解“真实”流量的特征将帮助您留意针对您的物联网设备的探测和接管尝试。2018年,当立法正在进行时,加利福尼亚州的一项新法律规定,该州制造的每台新设备,从路由器到智能家居技术,都必须具有开箱即用的“合理”安全功能,法律明确要求每一个设备具有“每个设备唯一”的预编程密码。它还要求任何新设备“包含一项安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,强制用户在打开设备时将其唯一密码更改为新密码。第一次。可以说,新法律是确保网络安全的一小步,但未能解决更广泛的安全问题。面对此类问题,需要供应商、企业、用户和政府的共同努力。作为普通用户,我们能做的就是加强安全意识,尽快改变那些长期存在的默认配置,行动起来!本文翻译自:https://www.darkreading.com/edge/theedge/6-dangerous-defaults-attackers-love-(and-you-should-know)/b/d-id/1338571?page_number=7如若转载请注明原文地址
