iSCSI 是一種將工作站和服務(wù)器與數據存儲設備相連的協(xié)議，通?？稍诖笮推髽I(yè) / 數據中心的磁盤(pán)存儲陣列、以及消費級的網(wǎng)絡(luò )附加存儲（NAS）設備上找到。然而由于客戶(hù)忘記啟用身份驗證，這種錯誤的配置導致超過(guò) 13000 個(gè) iSCSI 存儲集群向別有用心的網(wǎng)絡(luò )犯罪分子敞開(kāi)了大門(mén)。對于設備擁有者來(lái)說(shuō)，這會(huì )讓他們面臨極大的數據安全風(fēng)險。

外媒 ZDNet 指出，iSCSI 全稱(chēng)為“互聯(lián)網(wǎng)小型計算機系統接口”，該協(xié)議旨在操作系統查看遠程存儲設備，并與之交互。在實(shí)際體驗上，它更像是一種本地組件，而不是基于 IP 的可訪(fǎng)問(wèn)系統。

作為現代計算機行業(yè)的核心組件，因 iSCSI 被軟件認作是本地設備，所以其允許企業(yè)集中存儲、甚至讓虛擬機（VM）從遠程硬盤(pán)啟動(dòng)、而不會(huì )破壞無(wú)法處理基于 IP 的網(wǎng)絡(luò )存儲路徑的應用程序。

得益于這方面的特性，iSCSI 成為了許多數據復制解決方案的一個(gè)關(guān)鍵組成部分。通常情況下，這套系統中會(huì )包含敏感的數據，因此 iSCSI 也會(huì )支持各種身份驗證措施，防止未經(jīng)授權的設備訪(fǎng)問(wèn)。

iSCSI 設備所有者可以設置相應的措施，對訪(fǎng)問(wèn)其存儲集群的用戶(hù)進(jìn)行管理，比如限制數據交互或創(chuàng )建新的存儲驅動(dòng)器。但與所有聯(lián)網(wǎng)設備一樣，總有一小部分會(huì )疏于這方面的配置，從而暴露了安全隱患。

此前，我們經(jīng)常聽(tīng)聞路由器、數據庫、網(wǎng)絡(luò )服務(wù)器的泄露報告，只因一小部分設備所有者未能遵循最低限度的安全措施。在最新的案例中，竟有 1.3 萬(wàn)的 iSCSI 存儲集群無(wú)需身份驗證即可訪(fǎng)問(wèn)。

這意味著(zhù)任何了解 iSCSI 存儲系統基本詳情的人們，都可以通過(guò)簡(jiǎn)單的教程（比如 YouTube 視頻）來(lái)非法訪(fǎng)問(wèn)這些存儲集群，導致數據中心內的大型磁盤(pán)陣列或辦公室角落的小型 NAS 數據泄露。

周末的時(shí)候，滲透測試人員 A Shadow 向 ZDNet 通報了這個(gè)極其危險的配置錯誤。其在聯(lián)網(wǎng)設備引擎 Shodan 上，輕松檢索到了超過(guò) 13500 個(gè) iSCSI 存儲集群。

研究人員將本次 iSCSI 暴露描述為一種危險的后門(mén)，使得網(wǎng)絡(luò )犯罪分子能夠在企業(yè)網(wǎng)絡(luò )中植入可感染文件的勒索軟件、竊取數據、或將后門(mén)置于可能被激活的備份檔案中。

在對一小部分暴露的 iSCSI 集群樣本進(jìn)行粗略的調查后，ZDNet 發(fā)現屬于 YMCA 分支機構的 iSCSI 存儲系統可被無(wú)密碼訪(fǎng)問(wèn)，此外還有俄羅斯政府機構、以及來(lái)自世界各地的多所大學(xué)和研究機構。

從暴露的 IP 地址來(lái)看，也有許多群暉等 NAS 設備未妥善配置訪(fǎng)問(wèn)權限。盡管其 Web 控制面板受到了密碼保護，但 iSCSI 端口仍有暴露的可能。

在經(jīng)歷了數天的分析后，A Shadow 指出，其中不少 iSCSI 集群屬于私營(yíng)企業(yè)，他們是網(wǎng)絡(luò )犯罪集團的理想攻擊目標。如果遭遇不測，勒索軟件團伙可能向大型網(wǎng)站索取天價(jià)贖金。

安全基線(xiàn)是一個(gè)信息系統的最小安全保證，不滿(mǎn)足系統最基本的安全需求, 可能會(huì )給企業(yè)帶來(lái)巨大的安全風(fēng)險。由于設備增多及軟件的不斷更新變化，傳統的基線(xiàn)管理模式給企業(yè)的安全管理員帶來(lái)了巨大負擔，往往又忙又累還不能保證全部覆蓋，一個(gè)疏漏就可能造成嚴重后果。

聯(lián)軟服務(wù)器安全管理系統依據等保、CIS等權威標準，并在行業(yè)安全標準的基礎上，實(shí)現了基線(xiàn)的自動(dòng)化管理、自動(dòng)化檢查并持續跟蹤改進(jìn)，保障了基線(xiàn)的全覆蓋，能夠切實(shí)保證企業(yè)基線(xiàn)標準制定到位，為企業(yè)業(yè)務(wù)安全保駕護航。

稿源：cnBeta.com