iSCSI 是一種將工作站和服務器與數據存儲設備相連的協議，通常可在大型企業 / 數據中心的磁盤存儲陣列、以及消費級的網絡附加存儲（NAS）設備上找到。然而由于客戶忘記啟用身份驗證，這種錯誤的配置導致超過 13000 個 iSCSI 存儲集群向別有用心的網絡犯罪分子敞開了大門。對于設備擁有者來說，這會讓他們面臨極大的數據安全風險。

外媒 ZDNet 指出，iSCSI 全稱為“互聯網小型計算機系統接口”，該協議旨在操作系統查看遠程存儲設備，并與之交互。在實際體驗上，它更像是一種本地組件，而不是基于 IP 的可訪問系統。

作為現代計算機行業的核心組件，因 iSCSI 被軟件認作是本地設備，所以其允許企業集中存儲、甚至讓虛擬機（VM）從遠程硬盤啟動、而不會破壞無法處理基于 IP 的網絡存儲路徑的應用程序。

得益于這方面的特性，iSCSI 成為了許多數據復制解決方案的一個關鍵組成部分。通常情況下，這套系統中會包含敏感的數據，因此 iSCSI 也會支持各種身份驗證措施，防止未經授權的設備訪問。

iSCSI 設備所有者可以設置相應的措施，對訪問其存儲集群的用戶進行管理，比如限制數據交互或創建新的存儲驅動器。但與所有聯網設備一樣，總有一小部分會疏于這方面的配置，從而暴露了安全隱患。

此前，我們經常聽聞路由器、數據庫、網絡服務器的泄露報告，只因一小部分設備所有者未能遵循最低限度的安全措施。在最新的案例中，竟有 1.3 萬的 iSCSI 存儲集群無需身份驗證即可訪問。

這意味著任何了解 iSCSI 存儲系統基本詳情的人們，都可以通過簡單的教程（比如 YouTube 視頻）來非法訪問這些存儲集群，導致數據中心內的大型磁盤陣列或辦公室角落的小型 NAS 數據泄露。

周末的時候，滲透測試人員 A Shadow 向 ZDNet 通報了這個極其危險的配置錯誤。其在聯網設備引擎 Shodan 上，輕松檢索到了超過 13500 個 iSCSI 存儲集群。

研究人員將本次 iSCSI 暴露描述為一種危險的后門，使得網絡犯罪分子能夠在企業網絡中植入可感染文件的勒索軟件、竊取數據、或將后門置于可能被激活的備份檔案中。

在對一小部分暴露的 iSCSI 集群樣本進行粗略的調查后，ZDNet 發現屬于 YMCA 分支機構的 iSCSI 存儲系統可被無密碼訪問，此外還有俄羅斯政府機構、以及來自世界各地的多所大學和研究機構。

從暴露的 IP 地址來看，也有許多群暉等 NAS 設備未妥善配置訪問權限。盡管其 Web 控制面板受到了密碼保護，但 iSCSI 端口仍有暴露的可能。

在經歷了數天的分析后，A Shadow 指出，其中不少 iSCSI 集群屬于私營企業，他們是網絡犯罪集團的理想攻擊目標。如果遭遇不測，勒索軟件團伙可能向大型網站索取天價贖金。

安全基線是一個信息系統的最小安全保證，不滿足系統最基本的安全需求, 可能會給企業帶來巨大的安全風險。由于設備增多及軟件的不斷更新變化，傳統的基線管理模式給企業的安全管理員帶來了巨大負擔，往往又忙又累還不能保證全部覆蓋，一個疏漏就可能造成嚴重后果。

聯軟服務器安全管理系統依據等保、CIS等權威標準，并在行業安全標準的基礎上，實現了基線的自動化管理、自動化檢查并持續跟蹤改進，保障了基線的全覆蓋，能夠切實保證企業基線標準制定到位，為企業業務安全保駕護航。

稿源：cnBeta.com