防御“挖礦”攻擊的安防系統(tǒng)路由配置

劉偉

近年來，平安城市建設(shè)中構(gòu)建了大量大型的安防系統(tǒng)，最常見的是遍布十字路口和商鋪門口的網(wǎng)絡(luò)攝像頭。使用者不需任何專業(yè)軟件，只需普通的網(wǎng)絡(luò)瀏覽器即可監(jiān)視其影像，但在方便的同時也留下了網(wǎng)絡(luò)安全漏洞，下面針對常見的RCE Day漏洞分析防御“挖礦”類攻擊的處理思路，給出路由器配置方案，對網(wǎng)絡(luò)安全防范工作提供一定的指導(dǎo)意義。

一、安全防范系統(tǒng)的基本要求和網(wǎng)絡(luò)安全現(xiàn)狀分析

根據(jù)公安部在安全防范工程技術(shù)規(guī)范，關(guān)于“滿足系統(tǒng)的安全性、電磁兼容性要求”中規(guī)定，網(wǎng)絡(luò)攝像頭需要具備防御網(wǎng)絡(luò)黑客的攻擊功能。但是，近年來天網(wǎng)工程和智慧城市工程采購的網(wǎng)絡(luò)攝像頭，管理員大多沒有經(jīng)過網(wǎng)絡(luò)安全崗位培訓(xùn)，實際工作中也忽略了路由設(shè)置的安全防范工作，另外路由器使用默認密碼較多，只要點擊瀏覽器或手機的APP即可實現(xiàn)連接。

二、路由隱患分析

弱口令漏洞。默認密碼為：user，admin，123456或111111等屬于弱口令漏洞，用ScanPort等工具進行端口、協(xié)議掃描，查找攝像頭廠家的特征碼，對有特征碼反饋的，利用對應(yīng)的IP地址和端口號使用弱口令碰撞進行訪問，很容易就能掌控該路由，從而操縱其主機形成攻擊。

RCE Day漏洞。筆者處理過一個案例，黑客是9歲的小學(xué)生，他通過ping的命令成功連接上家長單位的D-Link網(wǎng)絡(luò)攝像頭，隨意刪改數(shù)據(jù)，造成了攻擊事實。事后經(jīng)過調(diào)查市面的GoAhead服務(wù)器，發(fā)現(xiàn)大約80 %的設(shè)備均受這種漏洞影響。

數(shù)據(jù)傳輸未加密、APP未安全加固。以Windows XP為例，右擊“我的電腦”選擇“管理”展開“服務(wù)和應(yīng)用程序”，從服務(wù)的清單中選擇“SNMP服務(wù)”，停止該服務(wù)。然后打開“服務(wù)”的屬性對話框，將啟動類型改為禁用，操作完成。

再例如，封鎖ICMP（控制消息協(xié)議）的ping請求，避免遠程用戶接收ping請求的應(yīng)答，操作過程是右擊本機的IP安全策略，選擇管理IP過濾器，在列表中建立一個新的過濾規(guī)則 ICMP_ANY_IN，源地址選任意IP，目標地址選本機，協(xié)議類型是ICMP，切換到管理過濾器操作，增加一個名為DENY的操作（類型為“阻止”block），這樣就有了一個關(guān)注所有進入ICMP保護的過濾策略和丟棄所有報文的過濾操作了。如果這些數(shù)據(jù)傳輸加密工作在基層的安防系統(tǒng)建設(shè)中沒有被足夠重視，就會留下安全隱患。

四、修復(fù)挖礦漏洞的方法

測試挖礦類黑客攻擊的方法有3步：

1.下載工具，測試確認漏洞存在（可以從Github上下載相關(guān)程序）；

2.從MOS上下載weblogic，用“C：＼Python27＼”修改系統(tǒng)環(huán)境變量，輸入命令print Hello World！完成配置，修復(fù)漏洞；

3.搜索關(guān)鍵字“CVE-2017-10271”再次測試漏洞是否存在，查看README的內(nèi)容weblogic_wls_wsat_rce和Weblogic wls-wsat組件反序列化漏洞（CVE-2017-10271）利用腳本，上傳shell，在linux下weblogic 10.3.6.0測試OK。啟動一個weblogic域，測試RCE漏洞F：＼weblogic_wls_wsat_rce-master>python weblogic_wls_wsat_exp.py-t 10.6.3.226：70

06 -c ls

[-]FAIL：404 no output

從測試返回結(jié)果“FAIL：404 no output”來看，顯然漏洞已經(jīng)修復(fù)。