Censys的网络安全研究人员将可公开访问的暴露接口称为网络犯罪分子“唾手可得的果实”,因为他们可以轻松获得对关键资产的未经授权的访问。该研究主要旨在检查美国顶级政府机构使用的VPN、防火墙、接入点、路由器和其他远程服务器管理设备。
攻击面管理公司Censys的研究人员发现数百台与联邦网络相连的设备,这些设备具有可远程访问的管理界面。这些接口可以允许通过公共互联网控制和配置联邦机构网络。
根据Censys研究团队6月26日发布的博客文章,对联邦民事行政部门(FCEB)内大约50个子组织的攻击面进行的检查显示,100个自治系统中分布着13000个不同的主机。
进一步调查发现,在1300个FCEB主机的子集上运行的服务(可通过IPv4地址访问)拥有数百个具有可公开访问管理接口的设备。该披露属于CISA BOD 23-02(约束性操作指令)的范围。
CISA的BOD 23-02帮助联邦机构消除与远程访问管理界面相关的风险。它要求联邦民事机构从互联网上删除某些网络管理接口,并要求他们实施零信任架构功能,以在发现后十四天内对互联网公开的接口实施访问控制。
Censys的研究人员将可公开访问的界面称为网络犯罪分子“唾手可得的果实”,因为他们可以轻松获得对关键资产的未经授权的访问。CISA指出,威胁行为者对针对某些类别的设备非常感兴趣,尤其是那些支持网络基础设施的设备,因为这有助于它们逃避检测。
在破坏这些设备后,攻击者可以获得对网络的完全访问权限。配置错误、安全措施不足或过时以及未修补的软件使设备容易受到攻击。如果设备管理界面直接连接到面向公众的互联网或可从面向公众的互联网访问,那么对组织的损害将会更大。
研究人员主要检查了VPN、防火墙、接入点、路由器和其他远程服务器管理设备。他们发现了大约250个不同的主机Web界面,用于暴露网络设备,全部使用SSH和TELNET远程协议。
大多数受影响的设备是具有可公开访问的自适应安全设备管理器界面的思科网络设备,而他们还发现企业Cradlepoint路由器界面泄露了无线网络详细信息。其他受影响的产品包括Fortinet FortiGuard、SonicWall和其他流行的防火墙。
此外,研究人员还观察到暴露的远程访问协议,包括NetBIOS、FTP、SNMP和SMB、带外远程服务器管理设备(例如 Lantronix SLC控制台服务器)、物理Barracuda电子邮件安全网关设备、Nessus漏洞扫描服务器、HTTP服务公开的目录列表、托管文件传输协议(例如GoAnywhere、MOVEit和SolarWinds Serv-U)以及超过150个报废软件。
FCEB暴露的主机上运行着15个远程访问协议,其中已经包含多个可被威胁行为者利用的已知漏洞。该报告强调,联邦机构需要更加主动地保护其数字资产并改进所有系统的安全机制,以使设备符合CISA的BOD 23-02标准。
评论已关闭。