标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-2366] 作者: 闲云野鸡 发表于: [2019-04-18] [2019-04-18]被用户:ecawen 修改过
本文共 [431] 位读者顶过
概述 [出自:jiwo.org] iSCSI(Internet Small Computer System Interface)Internet小型计算机系统接口,又称为IP-SAN,是一种基于因特网及SCSI-3协议下的存储技术,由IETF提出,并于2003年2月11日成为正式的标准。 2019年4月17日,白帽汇安全研究院(以下简称白帽汇)经过FOFA系统分析,发现存在许多未授权访问的iSCSI面临安全风险,任意的攻击者都可对未授权访问的iSCIS进行访问、修改、删除等操作,对用户造成数据泄露、数据丢失等风险。 根据FOFA系统近一年统计显示,目前全球共有34564个iSCSI协议对外开放(非漏洞情况)。其中,中国第一,共有8726个对外开放;第二是韩国,共有3688个;第三是美国,共有3662个;第四是俄罗斯,共2602个。
iSCSI 全球分布情况(仅为分布情况,非漏洞影响情况) 中国大陆地区对外开放的共有5337个。其中,广东省第一,共有768个;第二是北京市,共有699个;第三是江苏省,共有511个;第四是浙江省,共有492个;第五是上海市,共有365个。
iSCSI 中国大陆地区分布情况(仅为分布情况,非漏洞影响情况) 漏洞原理与危害 iSCSI利用了TCP/IP的port 860 和 3260 作为沟通的渠道。透过两部计算机之间利用iSCSI的协议来交换SCSI命令,让计算机可以透过高速的局域网集线来把SAN模拟成为本地的储存装置。该漏洞主要由配置不当导致的未授权访问漏洞。任意的攻击者都可以使用linux系统或windows系统(笔者使用的是Windows10和Windows server2012 版本,其他Windows版本可自行查看)的软件进行连接,连接成功后,即可管理远程的磁盘,查看、删除、修改文件等操作。 如果要连接iSCSI,可使用Windows系统自带的iSCSI发起程序进行连接,linux系统则可以安装相应软件(管理软件有多个,可自行搜索。如:iscsi-initiator-utils。)来进行连接。另外需要注意的是,Windows使用iSCSI,需要先启动msiscsi服务。第一次使用iSCSI发起程序会进行提示,点击是可直接启动服务。 通过Windows iSCSI发起程序的快速连接功能进行快速连接或通过iSCSI的发现门户功能添加IP地址,根据列出的门户目标,选择目标名称即可连接,连接成功。连接成功后,即可在计算机管理的磁盘管理中看到磁盘。这里磁盘可能出现为脱机状态或者为初始化状态等情况,在Windows资源管理器中是不会显示磁盘盘符,这时只需将硬盘联机、进行初始化、分配磁盘盘符等来查看磁盘文件。同时Wnidows系统中的iSCSI支持命令行,启动msiscsi服务后可使用iscsicli命令对iSCSI来进行管理。 linux系统下有许多工具,使用搜索引擎可以搜到相关工具和使用说明。由于笔者还未使用,这里不做说明,大家可自行尝试。
Windows Server 2012 的iSCISI连接成功截图 漏洞影响 通过通信的协议特征,直接可通过FOFA搜索到存在未授权访问的网络资产。其未授权访问的标志为authmethod=None。目前,FOFA系统近一年数据显示,全球共有17733个存在iSCSI存在未授权访问漏洞,并可能被攻击者利用。其中,中国第一,共有5166个;第二是美国,共有2020个;第三是韩国,共有1514个;第四是俄罗斯,共1026个。 可访问 http://t.cn/EXY0o4w 查看全球受影响情况(如连接有问题,可通过https://fofa.so 网站搜索protocol=="iscsi" && banner="authmethod=None" 查看)。
iSCSI 全球存在未授权特征分布情况 中国大陆地区共有4084个存在iSCSI存在未授权访问漏洞,并可能被攻击者利用。其中,广东省第一,共有600个;第二是北京市,共有563个;第三是江苏省,共有372个;第四是浙江省,共有362个;第五是上海市,共有304个。
iSCSI 中国大陆地区存在未授权特征影响分布情况 漏洞危害等级 高危 CVE编号 无 修复建议 由于相关的ISCSI的软件、硬件环境不同,请根据其实际情况修改配置文件,增加认证用户。 |