【每日安全資訊】因配置失誤超1.3萬iSCSI存儲集群已在線上暴露

知識 04-03

iSCSI 是一種將工作站和伺服器與數據存儲設備相連的協議，通常可在大型企業 / 數據中心的磁碟存儲陣列、以及消費級的網路附加存儲（NAS）設備上找到。然而由於客戶忘記啟用身份驗證，這種錯誤的配置導致超過 13000 個 iSCSI 存儲集群向別有用心的網路犯罪分子敞開了大門。對於設備擁有者來說，這會讓他們面臨極大的數據安全風險。

（題圖 via：ZDNet）

外媒 ZDNet 指出，iSCSI 全稱為「互聯網小型計算機系統介面」，該協議旨在操作系統查看遠程存儲設備，並與之交互。在實際體驗上，它更像是一種本地組件，而不是基於 IP 的可訪問系統。

作為現代計算機行業的核心組件，因 iSCSI 被軟體認作是本地設備，所以其允許企業集中存儲、甚至讓虛擬機（VM）從遠程硬碟啟動、而不會破壞無法處理基於 IP 的網路存儲路徑的應用程序。

得益於這方面的特性，iSCSI 成為了許多數據複製解決方案的一個關鍵組成部分。通常情況下，這套系統中會包含敏感的數據，因此 iSCSI 也會支持各種身份驗證措施，防止未經授權的設備訪問。

iSCSI 設備所有者可以設置相應的措施，對訪問其存儲集群的用戶進行管理，比如限制數據交互或創建新的存儲驅動器。但與所有聯網設備一樣，總有一小部分會疏於這方面的配置，從而暴露了安全隱患。

此前，我們經常聽聞路由器、資料庫、網路伺服器的泄露報告，只因一小部分設備所有者未能遵循最低限度的安全措施。在最新的案例中，竟有 1.3 萬的 iSCSI 存儲集群無需身份驗證即可訪問。

這意味著任何了解 iSCSI 存儲系統基本詳情的人們，都可以通過簡單的教程（比如 YouTube 視頻）來非法訪問這些存儲集群，導致數據中心內的大型磁碟陣列或辦公室角落的小型 NAS 數據泄露。

周末的時候，滲透測試人員 A Shadow 向 ZDNet 通報了這個極其危險的配置錯誤。其在聯網設備引擎 Shodan 上，輕鬆檢索到了超過 13500 個 iSCSI 存儲集群。

研究人員將本次 iSCSI 暴露描述為一種危險的後門，使得網路犯罪分子能夠在企業網路中植入可感染文件的勒索軟體、竊取數據、或將後門置於可能被激活的備份檔案中。

在對一小部分暴露的 iSCSI 集群樣本進行粗略的調查後，ZDNet 發現屬於 YMCA 分支機構的 iSCSI 存儲系統可被無密碼訪問，此外還有俄羅斯政府機構、以及來自世界各地的多所大學和研究機構。

從暴露的 IP 地址來看，也有許多群暉等 NAS 設備未妥善配置訪問許可權。儘管其 Web 控制面板受到了密碼保護，但 iSCSI 埠仍有暴露的可能。

在經歷了數天的分析後，A Shadow 指出，其中不少 iSCSI 集群屬於私營企業，他們是網路犯罪集團的理想攻擊目標。如果遭遇不測，勒索軟體團伙可能向大型網站索取天價贖金。

*來源：cnBeta.COM

更多資訊

? Cloudflare 宣布移動 VPN 服務 Warp

雲服務商 Cloudflare 去年 4 月 1 日宣布了免費 DNS 服務 1.1.1.1，今年的同一天它宣布了 VPN 服務 Warp，用戶現在可以通過 Cloudflare 的移動應用 1.1.1.1 註冊該服務，它的基本版本是免費的，但也將提供一個付費版本 Warp+。

來源：solidot.org

詳情：http://t.cn/EiobgqQ

? Pipdig 使用客戶的網站 DDoS 競爭對手

WordPress 主題供應商 Pipdig 被發現利用客戶的伺服器對競爭對手的網站發動 DDoS 攻擊。安全研究人員分析了它的代碼，找到了 DDoS 攻擊的確鑿證據。

來源：solidot.org

詳情：http://t.cn/EioGh2m

? 針對騷擾電話軟體銷售推廣問題北京通信管理局約談搜索服務提供商

4月2日消息,據北京市通信管理局發布的消息，近日，北京市通信管理局針對互聯網上發現的騷擾電話軟體銷售推廣信息的問題，集中約談了奇虎360、搜狗等搜索服務提供商。約談中，北京管局指出，搜索服務提供商要認真履行社會責任，嚴格落實工業和信息化部等十三部門綜合整治騷擾電話專項行動的相關要求，從源頭上切斷騷擾電話相關軟體、設備的信息來源。

來源：TechWeb

詳情：http://t.cn/EioG2RU

? 網頁被境外黑客入侵篡改未及時處置中移鐵通北京分公司被開罰單

北京市通信管理局開出的京信管罰字[2019]第01號行政處罰決定書顯示，中移鐵通有限公司北京分公司未全面履行法律義務，網站網頁被境外黑客入侵篡改未及時處置，被處以一萬元罰款，對直接負責的主管人員處五千元罰款。

來源：千龍網

詳情：http://t.cn/EioGq8M

（信息來源於網路，安華金和搜集整理）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！