iSCSI 是一種將工作站和服務(wù)器與數(shù)據(jù)存儲設(shè)備相連的協(xié)議，通常可在大型企業(yè) / 數(shù)據(jù)中心的磁盤存儲陣列、以及消費級的網(wǎng)絡(luò)附加存儲（NAS）設(shè)備上找到。然而由于客戶忘記啟用身份驗證，這種錯誤的配置導(dǎo)致超過 13000 個 iSCSI 存儲集群向別有用心的網(wǎng)絡(luò)犯罪分子敞開了大門。對于設(shè)備擁有者來說，這會讓他們面臨極大的數(shù)據(jù)安全風(fēng)險。

外媒 ZDNet 指出，iSCSI 全稱為“互聯(lián)網(wǎng)小型計算機系統(tǒng)接口”，該協(xié)議旨在操作系統(tǒng)查看遠程存儲設(shè)備，并與之交互。在實際體驗上，它更像是一種本地組件，而不是基于 IP 的可訪問系統(tǒng)。

作為現(xiàn)代計算機行業(yè)的核心組件，因 iSCSI 被軟件認作是本地設(shè)備，所以其允許企業(yè)集中存儲、甚至讓虛擬機（VM）從遠程硬盤啟動、而不會破壞無法處理基于 IP 的網(wǎng)絡(luò)存儲路徑的應(yīng)用程序。

得益于這方面的特性，iSCSI 成為了許多數(shù)據(jù)復(fù)制解決方案的一個關(guān)鍵組成部分。通常情況下，這套系統(tǒng)中會包含敏感的數(shù)據(jù)，因此 iSCSI 也會支持各種身份驗證措施，防止未經(jīng)授權(quán)的設(shè)備訪問。

iSCSI 設(shè)備所有者可以設(shè)置相應(yīng)的措施，對訪問其存儲集群的用戶進行管理，比如限制數(shù)據(jù)交互或創(chuàng)建新的存儲驅(qū)動器。但與所有聯(lián)網(wǎng)設(shè)備一樣，總有一小部分會疏于這方面的配置，從而暴露了安全隱患。

此前，我們經(jīng)常聽聞路由器、數(shù)據(jù)庫、網(wǎng)絡(luò)服務(wù)器的泄露報告，只因一小部分設(shè)備所有者未能遵循最低限度的安全措施。在最新的案例中，竟有 1.3 萬的 iSCSI 存儲集群無需身份驗證即可訪問。

這意味著任何了解 iSCSI 存儲系統(tǒng)基本詳情的人們，都可以通過簡單的教程（比如 YouTube 視頻）來非法訪問這些存儲集群，導(dǎo)致數(shù)據(jù)中心內(nèi)的大型磁盤陣列或辦公室角落的小型 NAS 數(shù)據(jù)泄露。

周末的時候，滲透測試人員 A Shadow 向 ZDNet 通報了這個極其危險的配置錯誤。其在聯(lián)網(wǎng)設(shè)備引擎 Shodan 上，輕松檢索到了超過 13500 個 iSCSI 存儲集群。

研究人員將本次 iSCSI 暴露描述為一種危險的后門，使得網(wǎng)絡(luò)犯罪分子能夠在企業(yè)網(wǎng)絡(luò)中植入可感染文件的勒索軟件、竊取數(shù)據(jù)、或?qū)⒑箝T置于可能被激活的備份檔案中。

在對一小部分暴露的 iSCSI 集群樣本進行粗略的調(diào)查后，ZDNet 發(fā)現(xiàn)屬于 YMCA 分支機構(gòu)的 iSCSI 存儲系統(tǒng)可被無密碼訪問，此外還有俄羅斯政府機構(gòu)、以及來自世界各地的多所大學(xué)和研究機構(gòu)。

從暴露的 IP 地址來看，也有許多群暉等 NAS 設(shè)備未妥善配置訪問權(quán)限。盡管其 Web 控制面板受到了密碼保護，但 iSCSI 端口仍有暴露的可能。

在經(jīng)歷了數(shù)天的分析后，A Shadow 指出，其中不少 iSCSI 集群屬于私營企業(yè)，他們是網(wǎng)絡(luò)犯罪集團的理想攻擊目標。如果遭遇不測，勒索軟件團伙可能向大型網(wǎng)站索取天價贖金。

安全基線是一個信息系統(tǒng)的最小安全保證，不滿足系統(tǒng)最基本的安全需求, 可能會給企業(yè)帶來巨大的安全風(fēng)險。由于設(shè)備增多及軟件的不斷更新變化，傳統(tǒng)的基線管理模式給企業(yè)的安全管理員帶來了巨大負擔(dān)，往往又忙又累還不能保證全部覆蓋，一個疏漏就可能造成嚴重后果。

聯(lián)軟服務(wù)器安全管理系統(tǒng)依據(jù)等保、CIS等權(quán)威標準，并在行業(yè)安全標準的基礎(chǔ)上，實現(xiàn)了基線的自動化管理、自動化檢查并持續(xù)跟蹤改進，保障了基線的全覆蓋，能夠切實保證企業(yè)基線標準制定到位，為企業(yè)業(yè)務(wù)安全保駕護航。

稿源：cnBeta.com