iSCSI 是一種將工作站和服務(wù)器與數(shù)據(jù)存儲(chǔ)設(shè)備相連的協(xié)議，通?？稍诖笮推髽I(yè) / 數(shù)據(jù)中心的磁盤(pán)存儲(chǔ)陣列、以及消費(fèi)級(jí)的網(wǎng)絡(luò)附加存儲(chǔ)（NAS）設(shè)備上找到。然而由于客戶忘記啟用身份驗(yàn)證，這種錯(cuò)誤的配置導(dǎo)致超過(guò) 13000 個(gè) iSCSI 存儲(chǔ)集群向別有用心的網(wǎng)絡(luò)犯罪分子敞開(kāi)了大門(mén)。對(duì)于設(shè)備擁有者來(lái)說(shuō)，這會(huì)讓他們面臨極大的數(shù)據(jù)安全風(fēng)險(xiǎn)。

外媒 ZDNet 指出，iSCSI 全稱(chēng)為“互聯(lián)網(wǎng)小型計(jì)算機(jī)系統(tǒng)接口”，該協(xié)議旨在操作系統(tǒng)查看遠(yuǎn)程存儲(chǔ)設(shè)備，并與之交互。在實(shí)際體驗(yàn)上，它更像是一種本地組件，而不是基于 IP 的可訪問(wèn)系統(tǒng)。

作為現(xiàn)代計(jì)算機(jī)行業(yè)的核心組件，因 iSCSI 被軟件認(rèn)作是本地設(shè)備，所以其允許企業(yè)集中存儲(chǔ)、甚至讓虛擬機(jī)（VM）從遠(yuǎn)程硬盤(pán)啟動(dòng)、而不會(huì)破壞無(wú)法處理基于 IP 的網(wǎng)絡(luò)存儲(chǔ)路徑的應(yīng)用程序。

得益于這方面的特性，iSCSI 成為了許多數(shù)據(jù)復(fù)制解決方案的一個(gè)關(guān)鍵組成部分。通常情況下，這套系統(tǒng)中會(huì)包含敏感的數(shù)據(jù)，因此 iSCSI 也會(huì)支持各種身份驗(yàn)證措施，防止未經(jīng)授權(quán)的設(shè)備訪問(wèn)。

iSCSI 設(shè)備所有者可以設(shè)置相應(yīng)的措施，對(duì)訪問(wèn)其存儲(chǔ)集群的用戶進(jìn)行管理，比如限制數(shù)據(jù)交互或創(chuàng)建新的存儲(chǔ)驅(qū)動(dòng)器。但與所有聯(lián)網(wǎng)設(shè)備一樣，總有一小部分會(huì)疏于這方面的配置，從而暴露了安全隱患。

此前，我們經(jīng)常聽(tīng)聞路由器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)服務(wù)器的泄露報(bào)告，只因一小部分設(shè)備所有者未能遵循最低限度的安全措施。在最新的案例中，竟有 1.3 萬(wàn)的 iSCSI 存儲(chǔ)集群無(wú)需身份驗(yàn)證即可訪問(wèn)。

這意味著任何了解 iSCSI 存儲(chǔ)系統(tǒng)基本詳情的人們，都可以通過(guò)簡(jiǎn)單的教程（比如 YouTube 視頻）來(lái)非法訪問(wèn)這些存儲(chǔ)集群，導(dǎo)致數(shù)據(jù)中心內(nèi)的大型磁盤(pán)陣列或辦公室角落的小型 NAS 數(shù)據(jù)泄露。

周末的時(shí)候，滲透測(cè)試人員 A Shadow 向 ZDNet 通報(bào)了這個(gè)極其危險(xiǎn)的配置錯(cuò)誤。其在聯(lián)網(wǎng)設(shè)備引擎 Shodan 上，輕松檢索到了超過(guò) 13500 個(gè) iSCSI 存儲(chǔ)集群。

研究人員將本次 iSCSI 暴露描述為一種危險(xiǎn)的后門(mén)，使得網(wǎng)絡(luò)犯罪分子能夠在企業(yè)網(wǎng)絡(luò)中植入可感染文件的勒索軟件、竊取數(shù)據(jù)、或?qū)⒑箝T(mén)置于可能被激活的備份檔案中。

在對(duì)一小部分暴露的 iSCSI 集群樣本進(jìn)行粗略的調(diào)查后，ZDNet 發(fā)現(xiàn)屬于 YMCA 分支機(jī)構(gòu)的 iSCSI 存儲(chǔ)系統(tǒng)可被無(wú)密碼訪問(wèn)，此外還有俄羅斯政府機(jī)構(gòu)、以及來(lái)自世界各地的多所大學(xué)和研究機(jī)構(gòu)。

從暴露的 IP 地址來(lái)看，也有許多群暉等 NAS 設(shè)備未妥善配置訪問(wèn)權(quán)限。盡管其 Web 控制面板受到了密碼保護(hù)，但 iSCSI 端口仍有暴露的可能。

在經(jīng)歷了數(shù)天的分析后，A Shadow 指出，其中不少 iSCSI 集群屬于私營(yíng)企業(yè)，他們是網(wǎng)絡(luò)犯罪集團(tuán)的理想攻擊目標(biāo)。如果遭遇不測(cè)，勒索軟件團(tuán)伙可能向大型網(wǎng)站索取天價(jià)贖金。

安全基線是一個(gè)信息系統(tǒng)的最小安全保證，不滿足系統(tǒng)最基本的安全需求, 可能會(huì)給企業(yè)帶來(lái)巨大的安全風(fēng)險(xiǎn)。由于設(shè)備增多及軟件的不斷更新變化，傳統(tǒng)的基線管理模式給企業(yè)的安全管理員帶來(lái)了巨大負(fù)擔(dān)，往往又忙又累還不能保證全部覆蓋，一個(gè)疏漏就可能造成嚴(yán)重后果。

聯(lián)軟服務(wù)器安全管理系統(tǒng)依據(jù)等保、CIS等權(quán)威標(biāo)準(zhǔn)，并在行業(yè)安全標(biāo)準(zhǔn)的基礎(chǔ)上，實(shí)現(xiàn)了基線的自動(dòng)化管理、自動(dòng)化檢查并持續(xù)跟蹤改進(jìn)，保障了基線的全覆蓋，能夠切實(shí)保證企業(yè)基線標(biāo)準(zhǔn)制定到位，為企業(yè)業(yè)務(wù)安全保駕護(hù)航。

稿源：cnBeta.com