پیکربندی نادرست امنیت سایبری : تنظیمات پیش‌فرض سیستم‌ها و سرویس‌ها

تنظیمات پیش‌فرض سیستم‌ها و سرویس‌ها می‌توانند منجر به دسترسی غیرمجاز و سایر فعالیت‌های مخرب شوند. تنظیمات پیش‌فرض رایج عبارت‌اند از:

• اعتبار‌نامه‌های پیش‌فرض(نام کاربری و رمزعبور پیش‌فرض)
• مجوز‌ها و تنظیمات پیش‌فرض سرویس‌ها

اعتبار‌نامه‌های پیش‌فرض

بسیاری از تولید کنندگان نرم‌افزار، دستگاه‌های شبکه COTS عرضه می‌کنند – برای دسترسی کاربر به اپلیکیشن‌ها یا پورتال‌های وب -که شامل اعتبارنامه پیش‌فرض برای دسترسی به حساب مدیریت درونی نرم‌افزار است. عوامل مخرب و تیم‌های ارزیابی مرتبا اعتبارنامه‌های پیش‌فرض را از طریق روش‌های زیر بررسی و البته سواستفاده می‌کنند:

• با یک جستجوی ساده اعتبارنامه پیش‌فرض را پیدا کرده و از آن برای دسترسی مجاز به دستگاه استفاده میکنند.
• بازنشانی حساب مدیریت درونی دستگاه از طریق سوال‌های قابل پیش‌بینی مربوط به گزینه “رمزعبور را فراموش کرده‌‌ام”.
• استفاده از اعتبارنامه پیش‌فرض VPN برای دسترسی به شبکه داخلی
• استفاده از اطلاعات راه‌اندازی در دسترس عموم برای شناسایی نام‌کاربری و رمزعبور داخلی اپلیکیشن‌های کاربردی وب و دسترسی به برنامه و پایگاه داده زیربنایی آن.
• استفاده از اعتبار پیش فرض در ابزارهای دیپلوی نرم‌افزار (استقرار نرم‌افزار) برای اجرای کد و حرکت جانبی.

علاوه بر دستگاه‌هایی که دسترسی به شبکه را فراهم می‌کنند، چاپگرها، اسکنرها، دوربین‌های امنیتی، تجهیزات سمعی و بصری اتاق کنفرانس (AV)، تلفن‌های صوتی از طریق اینترنت (VoIP) و دستگاه‌های اینترنت اشیا (IoT) معمولاً دارای اعتبارنامه‌های پیش‌فرض هستند که می‌توانند برای دسترسی غیرمجاز به این دستگاه‌ها استفاده شوند. علاوه بر این، عوامل مخرب که با استفاده از اطلاعات پیش‌فرض به چاپگرها و اسکنرها دسترسی پیدا می‌کنند، همچنین می‌توانند به حساب‌های دامنه متصل به این دستگاه‌ها نیز راه پیدا کنند.

مجوز‌ها و تنظیمات پیش‌فرض سرویس‌ها

برخی سرویس‌ها ممکن است به طور پیش‌فرض شامل مجوز دسترسی کنترل بیش‌ از اندازه و یا تنظیمات آسیب‌پذیر باشند. حتی اگر ارائه دهندگان این سرویس‌ها را به طور پیش‌فرض فعال نکنند، کاربران مخرب به راحتی می‌‌توانند از آن‌ها سواستفاده کنند اگر کاربران یا مدیران آن‌ها را فعال کنند.

تیم‌های ارزیابی به طور مکرر موارد زیر را پیدا می‌کنند:

• سرویس‌های گواهینامه Active Directory نا‌امن
• سرویس‌ها و پروتکل‌های قدیمی نا‌امن
• سرویس SMB نا‌امن

سرویس‌های گواهینامه اکتیو دایرکتوری نا‌امن

خدمات گواهی اکتیو دایرکتوری (ADCS) یک ویژگی است که برای مدیریت گواهی‌های زیرساخت کلید عمومی (PKI)، کلیدها و رمزگذاری در محیط‌های Active Directory (AD) استفاده می‌شود. الگوهای ADCS برای ساخت گواهی برای انواع مختلف سرورها و سایر نهادها در شبکه یک سازمان استفاده می‌شوند.

عوامل مخرب می‌توانند از پیکربندی‌های نادرست الگوی ADCS  برای دستکاری زیرساخت گواهی برای صدور گواهی‌های جعلی و یا افزایش امتیازات کاربر به امتیازات مدیر دامنه سوء استفاده کنند. این گواهی‌ها و امتیازات دامنه ممکن است به عوامل تهدید امکان دسترسی غیرمجاز و دائمی به سیستم‌ها و داده‌های حساس، توانایی جعل هویت نهادهای قانونی و توانایی دور زدن اقدامات امنیتی را بدهد.

پروتکل‌ها و سرویس‌های قدیمی ناامن

بسیاری از سرویس‌های شبکه آسیب‌پذیر به طور پیش فرض فعال هستند و تیم‌های ارزیابی فعال بودن آنها را در محیط های production مشاهده کرده‌اند. به طور بخصوص، تیم‌های ارزیابی LLMNR و NBT-NS را گزارش کرده‌اند که از کامپوننت‌های Microsoft Windows هستند و به عنوان روش جایگزین برای شناسایی میزبان عمل می‌کنند. اگر این سرویس‌ها در شبکه فعال باشند، عوامل مخرب می‌توانند حملات spoofing, poisoning, و relay را برای به دست آوردن هش دامنه، دسترسی به سیستم و نشست‌ مدیریت سیستم اجرا و راه‌اندازی کنند. عوامل تهدید اغلب از این پروتکل‌ها برای به خطر انداختن کل محیط های ویندوز سوء استفاده می‌کنند.

سرویس SMB نا امن

سرویس Server Message Block یا به اختصار SMB، یک جزء ویندوز می‌باشد که در درجه اول برای اشتراک گذاری فایل است. پیکربندی پیش‌فرض آن، از جمله در آخرین نسخه ویندوز، نیازی به امضای پیام‌های شبکه برای اطمینان از صحت و یکپارچگی ندارد. اگر سرورهای SMB امضای SMB را اعمال نکنند، عوامل مخرب می توانند از تکنیک‌های ماشینی در وسط، مانند رله NTLM استفاده کنند. علاوه براین بازیگران تهدید می‌توانند عدم امضای SMB را با مشکل LLMNR ترکیب کرده تا بدون نیاز به گرفتن و شکستن هر گونه هش، به سیستم‌های راه دور دسترسی پیدا کنند.

منبع: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a