在各自所有者忘记启用身份验证之后,目前可以通过Internet访问超过13,000个iSCSI存储群集。
这种配置错误可能会对设备所有者造成严重伤害,因为网络犯罪分子可能会访问这些可通过互联网访问的硬盘驱动器(存储磁盘阵列和NAS设备),以用恶意软件替换合法文件,在备份中插入后门或窃取公司存储在不受保护的设备上的信息。
什么是ISCSI
iSCSI代表Internet小型计算机系统接口,是一种协议,用于将工作站和服务器链接到数据存储设备,例如磁盘存储阵列(位于数据中心和大型企业中)和网络连接存储(NAS)设备(位于人们的计算机中)。家庭和中小型企业(SMB)。
该协议的主要目的是允许操作系统查看远程存储设备并与之交互,就好像它是本地组件一样,而不是基于IP的可访问系统。
iSCSI是现代计算行业的核心组件,因为它允许虚拟机(VM)作为本地设备从远程硬盘启动。允许公司集中存储系统,而不会破坏无法处理基于IP的网络存储路径的应用程序;并且是许多数据复制解决方案的关键部分。
配置错误BOO-BOO
自然,由于这些系统通常包含敏感数据,因此iSCSI协议支持各种身份验证措施,设备所有者可以设置这些身份验证措施,以防止未授权方连接到其存储群集并访问存储驱动器,与数据进行交互或创建新的存储驱动器。
但是,就像在许多与互联网连接的设备(例如路由器,数据库,Web服务器等)中一样,有一小部分设备所有者没有遵循最低限度的安全措施,并且暴露了其存储阵列在线无需身份验证
这意味着,任何了解其中一些系统的基本细节的人都可以遵循简单的YouTube视频教程并连接到这些存储集群,它们可以是公司数据中心内的大型磁盘阵列,也可以是办公室角落里的微型NAS设备。
可通过SHODAN获得数千个ISCSI群集
上周末,渗透测试人员A Shadow向ZDNet提出了有关这一极其危险的错误配置问题的提示。研究人员在Shodan上发现了超过13,500个iSCSI群集,Shodan是一个索引引擎,可对连接互联网的设备进行索引。
在与ZDNet的在线对话中,研究人员将这种iSCSI暴露描述为“危险的后门”,它可以使网络犯罪分子将受勒索软件感染的文件植入公司网络中,窃取公司数据,或将后门放置在可能被激活的备份档案中当公司还原这些诱骗文件之一时。
在对一小部分暴露的iSCSI群集的粗略调查中,ZDNet发现属于YMCA分支机构,俄罗斯政府机构以及全球多家大学和研究所的无密码iSCSI可访问存储系统。
ZDNet发现用于暴露iSCSI群集的许多IP地址也托管了用于NAS设备(例如Synology)的受密码保护的Web面板,这表明这些设备已使用Web面板的密码(而不是iSCSI端口)正确地保护了。
除了我们单独的调查之外,花了几天时间分析结果的A Shadow表示,这些iSCSI群集中的许多群集也属于私人公司,对于网络犯罪集团,尤其是针对大型勒索软件的勒索软件帮派来说,它们可能是理想的目标。赎金支出。
在短查找期间,这样的系统可能很难在Shodan搜索结果中发现,但是毫无疑问,寻求最大利润的网络犯罪团伙将愿意彻底研究每个公开的iSCSI集群,以寻求下一个巨大成功。
更新于4月3日:在ZDNet涵盖了这个严重的安全问题之后,Synology的团队(其用户属于受影响的人群)希望将以下信息传达给所有客户,涉及其产品中的iSCSI支持以及最佳配置方式。 。
Synology指出,iSCSI不能像SMB一样在互联网上使用,也不建议使用。iSCSI无法通过QuickConnect访问,并且当用户执行可选的路由器设置时,DSM不会为该服务自动设置端口转发规则。Synology强烈不鼓励在Internet上开放仅限本地的服务。如果用户出于任何原因必须这样做,则应使用VPN。
此外,尽管iSCSI通常不使用密码,但是对于那些想要使用密码的用户来说,可以启用一种称为CHAP身份验证的功能:https : //www.synology.com/zh-cn/knowledgebase/DSM/help/DSM/iSCSIManager/target