专家表示,在为各种商业和工业设备提供互联网连接的终端服务器上发现的安全漏洞,证明了让旧系统适应现代技术的固有风险。
[也:15个免费的安全工具,你应该试试]
安全公司Rapid7最近的一项研究发现,超过11.4万台终端服务器,大部分来自Digi International或Lantronix,配置为允许任何人访问底层系统.终端服务器,也称为网络访问服务器,使任何具有串行端口的设备可以通过Internet访问。
这些系统容易被篡改,包括工业控制设备、交通信号监视器、燃油泵、零售销售点终端和楼宇自动化设备。黑客在因特网上扫描这些设备上的串行端口,可以很容易地使用命令行程序来获得管理权限和控制设备。
这个问题很大程度上是由于企业没有建立强有力的认证措施。设备不需要强密码,而是使用制造商的默认密码,或者根本不需要认证。
虽然在大多数情况下,仅仅设置正确的身份验证就可以解决这个问题,但没有这样做的原因更为复杂。例如,终端服务器通常是由第三方或组织内部的人而不是IT安全专业人员添加到供暖、通风和空调设备和建筑安全系统中。
因此,后者甚至可能不知道服务器的存在,风险管理公司SecureState的研究主管马修·尼利(Matthew Neely)说。更糟糕的是,如果设备没有被正确地分类,那么服务器很快就会被遗忘。
一般来说,为控制系统添加安全性是很困难的,无论控制系统是用于商业还是制造,并且通常增加了一层复杂性,而底层系统最初构建时并没有处理这种复杂性。
应用控制解决方案的安全顾问Joe Weiss说:“经常有一种不部署[安全]的倾向,因为它影响功能。”
[也看到:美国,寻求在工业控制系统周围建立围绕网络统统的国际统一]
供应商也可以通过已担保的销售设备,而在现实中,它们只是能够被担保,这意味着买家必须添加必要的技术。另一种情况是,供应商将发送所有安全机制都关闭的设备,让买方打开它。
“坦率地说,很多时候人们不会看,因为盒子上说它是安全的,所以他们认为它是即插即用的,”Weiss说。
他说,终端服务器特有的问题经常出现在电力设施中。电力行业的联邦网络安全要求不包括串行端口服务器,因此公用事业公司经常跳过它们,因为这些服务器不会出现在他们的合规清单上。
“他们甚至不需要去找这些(服务器),”Weiss说。
终端服务器通常缺乏安全性,因为大多数设备未与关键的工业控制系统(IC)或其他重要设备一起使用。因此,专家建议这样的高价值硬件在单独的网络上运行,例如虚拟局域网,其在IT和公司网络之间的防火墙。
虽然VLAN意味着管理员要管理一个独立的网络和一组凭据,但问题远小于让黑客破坏了设备CYBATI的总裁兼联合创始人马修·卢艾伦(Matthew Luallen)说。该公司开设了保护ICS的课程。
“行政系统是高价值的目标,”Luallen说。“一旦有人进入,他们就拥有管理特权。”
这篇文章《易受攻击的终端服务器反映出更大的安全问题》最初是由方案 .