ICS-CERT不会将可更改的默认密码视为漏洞,但是应该吗?

专家不同意ICS-CERT,认为问题很严重

被黑

在回应4月份提交的漏洞报告时,ICS-CERT告诉研究人员,记录的,可更改的默认密码不是漏洞。但是,考虑到默认密码背后的风险以及对关键基础架构安全的关注,难道不应该将此类问题视为问题吗?

[关键基础设施风险仍然很高]

来自南卡罗来纳州的研究员Darius Freamon 报告了漏洞 在去年4月用于太阳能发电的ICS(工业控制系统)中。美国国土安全部下属部门ICS-CERT专注于关键基础设施的风险,他告诉他,他在Solare Datensysteme中披露的缺陷无效。

“在分析了安装手册之后,我们发现尽管此设备有默认密码,但该手册清楚地说明了如何进行更改。我们认为硬编码(不可更改)密码是一个漏洞,但我们认为记录中的不可更改内容默认密码是一个漏洞,” ICS-CERT通知Freamon的电子邮件。

Freamon今年已向ICS-CERT提交了五个不同的漏洞,对此的回应感到困惑。在他的工作中,他告诉CSO,他一直都在查看默认密码,尽管他了解对他的响应,但问题本身仍然存在。

Freamon告诉CSO,“最大的问题是管理员根本无法更改它们”,指的是关键系统中使用的默认密码。

“即使有50%的用户这样做,这也意味着有成百上千的系统向世界开放。在ICS和SCADA上的所有关注下,令人震惊的是有多少系统(使用默认凭据)连接到Internet。 ”

公民社会组织与其他一些安全专家就ICS-CERT的响应进行了交谈,以评估他们在此问题上的立场。至少在纸面上,这是一种标准做法,即在可能的情况下部署技术时更改默认设置。然而,现实是,软件和硬件使用默认设置投入生产,因为它使使用和管理更加容易。

一个。 EventTracker的首席执行官Ananth告诉CSO,4月份的默认密码报告非常严格,ICS-CERT提供的防御/解释很薄弱。

“微软从Windows XP时代就开始艰难地学习了这一课。不安全的默认选项是NIST开发SCAP标准的主要驱动力,并且需要对整个网络的配置进行年度评估。美国空军安全桌面配置是一个结果。这项工作的成果,大大减少了端点之间的攻击面。”

此外, 安全配置,例如更改默认密码,在SANS共识审核指南中列为关键控制3。

“简单地说,尽管有反复警告,但绝大多数用户仍将硬件和软件安装保留为默认设置。制造商或供应商必须默认提供安全配置。在这种情况下,最好强迫用户以便在安装时选择兼容的非默认密码作为强制步骤。” Ananth补充说。

反映了这一立场的Webroot安全情报总监Grayson Milbourne告诉CSO,默认密码留在系统上时是一个漏洞,并且虽然应该有一种初始的默认方法来访问新设备,但应该立即更改密码。首次登录后。

“这不仅是策略性的,而且是用户登录后软件方面必须采取的措施。如果默认密码保持不变或可猜测,则可以通过蛮力攻击对其进行访问和收集。工业系统的安全性远远不及公司网络保护,对我们基础架构的潜在破坏也远远超过任何一家公司可以承受的破坏。”

[趋势科技:黑客对供水的威胁是真实的]

Juniper Networks的Junos WebApp Secure首席软件架构师Kyle Adams告诉CSO,建议不要保留默认密码。尽管手册中的指导有助于减少易受攻击的安装数量,但仍然为人们提供了犯错误的空间,“可能导致相当大比例的系统被利用”。

“为什么要冒任何风险?他们应该强迫他们在首次启动时设置一个新密码。或者至少在第一次安装时让它生成一个随机密码,并将该密码显示给安装程序。”

公民社会组织鼓励您权衡此主题,在下面发表评论,告诉我们您为何同意或不同意ICS-CERT的立场。文档是否足够,还是应该有其他流程?

与本文联系的消息来源均能够在截止日期之前做出回应,所有消息来源都同意默认密码本身就是一个问题,因此需要加以注意。那些在后台发言的人仍然不同意ICS-CERT,因此我们有兴趣从该论点的另一端进行聆听。有没有人认为默认密码不是漏洞?

版权© 2013 IDG通讯,Inc.