以“防方视角”观缺省密码设置
以“防方视角”观缺省密码设置
本文分析了一起通过缺省密码设置进行网络攻击的安全事件,详细描述了攻击路径和防御思路,为网络安全防护提供了重要参考。
01 案例概述
这篇文章记录了某攻击者通过利用单位评价系统的管理员口令缺省设置,成功获取到学生和教工的账号密码,并通过弱口令碰撞登录统一认证登录平台和VPN进一步进入内网系统。在内网中,攻击者利用漏洞扫描工具和常见弱口令问题,成功获取了多个网段的权限,包括FTP、SSH、MySQL等系统。最终,攻击者通过控制数据库和其他系统,进一步扩大了攻击的成果。
02 攻击路径
从攻击者视角了解攻击的全过程,以下为攻击过程:
突破网络边界:攻击方的突破点是单位某评价系统,通过外网信息收集发现目标单位评价系统缺省设置admin账号密码,输入正确的验证码后成功登录Web系统,接着利用信息查看接口批量导出学号和工号信息,配合常见弱口令对统一认证登录平台进行密码碰撞,经过碰撞发现很多学生和教工使用某弱口令密码。
搭建内网隧道:攻击方登录统一认证登录平台后,明确大部分互联网资产均可登录。为进一步访问内网系统,攻击者尝试复用统一认证登录平台账号密码登录VPN,发现成功通过教工账号及弱口令登录VPN。由此,攻击者从信息泄露导致的弱口令问题成功入侵至内网系统。
扩大攻击成果:攻击方利用kscan漏洞扫描工具进行内网信息探测,发现主要存在4个网段。对不同网段进行漏洞检测后,发现弱口令问题尤为明显,存在大量FTP、SSH、Mysql弱口令以及锐捷路由器的默认密码问题。并且通过未授权添加Nacos用户的方式成功登录系统,进一步控制了其他弱口令数据库和其中的数据。
03 防方思路
站在防守单位的角度需吸取本案例的经验教训:
强化数据保护:避免在任何可以被公众访问的端口暴露配置信息。应该确保敏感端口不对外网开放,或者严格限制访问,如通过防火墙规则、VPN访问或IP白名单等。保证所有配置文件都不包含硬编码的敏感信息,如用户名和密码。改用安全的配置管理系统,如环境变量、密钥管理服务等。
加固访问控制:为关键组件如redis、mysql等实现网络隔离,确保不直接暴露在公网上。对于必须暴露的服务,应用严格的访问控制列表(ACL)和身份验证措施来禁止未经授权的访问尝试。对重要信息资产可启用服务级别的防火墙和入侵检测系统来监控异常流量和未经授权的访问尝试。
实施定期审查:安排定期的安全自查,以检查系统配置、权限设置、访问控制和网络安全策略是否符合最佳实践。按照公司安全规范使用自动化工具进行定期的漏洞扫描,及时发现和修复软件、系统和服务中的已知漏洞。