- 网络关键设备安全检测实施指南
- 张治兵 刘欣东主编
- 4063字
- 2025-01-09 16:34:51
第2节 网络关键设备安全风险
网络关键设备大量使用TCP/IP协议族。TCP/IP协议族的开放性推动了通信技术的快速发展,催生了互联网时代、移动互联网时代,促进了国家和区域经济的发展,也为人们的日常生活提供了更多便利。但是TCP/IP技术的开放性也引入了大量的安全问题,人们通过TCP/IP在实现互联的同时,心怀不轨的恶意攻击者也接入了网络世界,蠕虫病毒、分布式拒绝服务(DDoS)攻击、勒索病毒、口令暴力破解、中间人攻击、硬件植入攻击等攻击手段层出不穷,对网络生态造成了极大的负面影响。
网络关键设备涉及的网络安全风险主要包括弱口令风险、拒绝服务攻击风险、软硬件漏洞风险、供应链风险等方面。
1.弱口令风险
弱口令一般是指很容易被攻击者猜出的口令。根据NordPass公布的统计信息,2021年最常见的口令是“123456”,在全球范围内被使用超过1亿次。常见的十大弱口令统计信息如表1-2所示。
表1-2 常见的十大弱口令(数据来源:NordPass)
续表
从规则上分析,弱口令有3个特点。第一个特点是口令的长度不足,一般认为在重要的设备或系统中,口令长度小于8个字符是不安全的;第二个特点是复杂度不足,也就是口令的字符类型和组合方式较为单一,例如仅由数字组成的口令或仅由小写字母组成的口令都被认为不安全,而同时包括了数字、大写字母、小写字母、特殊字符中的3种及以上的口令被认为是更安全的口令;第三个特点是与账号的关联性强,所谓口令与账号的关联性是指通过账号能够较为容易地猜测或推理出口令,例如账号是admin,口令是admin123。
2.拒绝服务攻击风险
拒绝服务(DoS)攻击通常是指攻击者通过攻击使正常用户无法获得服务。网络设备层的拒绝服务攻击是指攻击者通过攻击使正常用户无法正常使用网络设备,包括控制、管理网络设备或通过网络设备转发数据。实现拒绝服务攻击的方式有很多,最常见的是通过发送大量的数据包占用系统分配给服务的资源,触发系统资源不足导致拒绝服务,常见的攻击如下。
(1) ICMPv4/v6 Ping request Flood:通过发送大量高速ICMPv4/v6 Ping request数据包,使主机或网络设备出现处理资源不足的情况。
(2) TCPv4/v6 SYN Flood:利用TCP(传输控制协议)三次握手协议存在的机制漏洞,向主机或网络设备发送大量的SYN但不回复ACK,使目标主机或网络设备耗费资源建立和维护大量的TCP半连接。
还有一种拒绝服务攻击的方式是通过构造畸形的网络数据包,触发设备协议栈或系统产生缓冲区溢出等运行问题,导致设备宕机或重启。举个例子,思科公司的网络设备操作系统软件(Cisco IOS Software)存在一个TFTP拒绝服务的漏洞,漏洞编号是CVE-2015-0681,这个漏洞的触发是通过一个特定的TFTP网络数据包,在不需要任何口令或授权的情况下使思科的路由器或交换机设备重启,即处于拒绝服务的状态。
3.软硬件漏洞风险
软硬件漏洞是网络设备中普遍和长期存在的弱点,而利用软硬件漏洞可使无授权的相关人员“侵入”他本不应该进入的系统,窃取机密信息、个人隐私或破坏系统运行。一个高风险的漏洞可以对国家重要基础设施甚至国家安全造成毁灭性打击,典型的案例如微软早期产品中的冲击波病毒攻击,伊朗核电站所遭遇的“震网”(Stuxnet)病毒攻击等。
从分类上看,软硬件漏洞一般可分为以下几类。第一类是硬件漏洞,例如因特尔公司部分CPU处理器芯片存在的熔断/幽灵等漏洞。第二类是系统软件漏洞,例如Linux kernel CIFS DNS解析功能设计错误漏洞(CVSS score 9.8),Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。NFSv4 implementation是其中的一个分布式文件系统协议。Linux kernel 2.6.35之前版本中的CIFS工具的DNS解析功能在启用CONFIG_CIFS_DFS_UPCALL时,没有对cifs.upcall的用户空间辅助dns_resolver upcall的用户密钥环进行正确的访问限制,本地用户可以借助包含add_key调用的向量欺骗DNS查询请求结果和执行任意CIFS加载。第三类是应用软件漏洞,例如sysstat资源管理错误漏洞(CVSS score 9.8),sysstat是一套适用于Linux平台的系统性能监控工具。sysstat 12.2.0及之前版本中的sa_common.c文件的‘check_file_actlst’函数存在资源管理错误漏洞。远程攻击者可借助特制文件利用该漏洞导致应用程序崩溃。第四类是协议漏洞,例如支持IPv6协议的部分路由器设备存在0型(Type 0)路由选项头协议漏洞,具体来说,在IPv6基本协议中规定了0型(Type 0)路由选项头,攻击者可以利用该路由选项头构造从源路由器到目的路由器之间的RH报文,造成放大攻击。目前在RFC 5095中已经废除了0型路由选项头,但是IPv6网络中仍然存在大量老旧产品,依然支持0型路由选项头,这些设备会成为攻击的目标。第五类是第三方组件(开源组件、商业组件)引入的漏洞,例如OpenSSL信息泄露漏洞(CVSS score 7.5),OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码算法、非对称密码算法、安全散列算法等。OpenSSL的TLS、SSH和IPSec协议和其他协议及产品中使用的DES和Triple DES密码算法存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。攻击者可利用漏洞获取受影响组件的敏感信息。
4.供应链风险
供应链风险一般是指ICT供应链风险,也就是为满足供应关系,通过资源和过程将需方、供方相互连接的网链结构,可用于将ICT的产品和服务提供给需方。ICT供应链通常以ICT产品和服务的设计开发为起点,经过生产等环节将产品和服务交付给需方,并对产品和服务进行运维等,直至其废弃,涉及设计、研发、采购、生产、仓储、运输、销售、维护、返回、销毁等众多环节。网络设备供应链属于ICT供应链范畴。
供应链安全风险也需从内部脆弱性和外部安全威胁两方面,围绕电信设备在设计、研发、采购、生产、仓储、运输、销售、维护、返回、销毁等全生命周期各环节中涉及的不同角色和合作方,开展风险识别和分析。
网络设备设计和研发阶段的主要任务是设计产品的实现方案,如概要设计、详细设计等,其中需要确定使用的元器件、软件框架等。这一阶段主要的供应链风险集中在元器件选用、开发环境、采购及物流等。
(1)元器件选用风险
在选用元器件时,首先考虑的是要满足功能要求,然后考虑经济性、稳定性、健壮性等。但是元器件作为ICT产品的基本组成部分,其安全性至关重要。元器件,尤其是核心元器件出现安全问题,将严重影响最终产品的安全性。
2017年2月,思科公司集中发布了8个公告,包括路由器、交换机、防火墙等在内超过50个型号的主要网络产品(包括12个型号的MS350交换机全线产品和36个型号的路由器)中存在问题时钟组件,该组件运行18个月后的失效率可能会提升,导致设备永久无法使用。思科设备中问题时钟产生的根源指向其中央处理器(CPU)芯片供应商英特尔(Intel)公司,该公司为思科提供的Atom C2000系列产品的时钟组件存在缺陷。英特尔存在缺陷的CPU产品被广泛应用于基础网络设备,思科、华为、戴尔、爱立信、惠普、浪潮等厂商的设备均使用了该系列芯片。
除了安全漏洞,在选用元器件时,还应当考虑供货的稳定性。在ICT产业全球化的态势下,ICT供应链安全与国家安全之间的关系日益密切。复杂且全球化的供应链在使企业享受全球新技术、规模经济效益的同时,也面临着新的安全风险,如国际环境因素导致的断供风险。国际政治、战争、贸易管制、知识产权等一种或者多种因素导致供应链中的产品或者服务中的必须要素(组件、部件、算法、技术等)无法获得,将导致整个产品或服务都无法实现。
(2)开发环境风险
随着安全意识的普及,企业在设计研发过程中往往会考虑产品的安全性,并设计相应的安全功能。但是,开发环境的安全性却被忽略了,选用存在安全隐患的开发环境或者组件,往往会出现更加隐蔽、影响范围更广的安全问题。
Xcode是由苹果公司发布的、运行在Apple所有平台上的集成开发工具,是开发OS X和iOS应用程序的最主流工具。自2015年9月14日起,一例Xcode非官方版本恶意代码污染事件逐步被人们关注,并成为热点事件。多数分析者将这一事件称为“XcodeGhost”。攻击者通过对Xcode进行篡改,加入恶意模块,并进行各种传播活动,使大量开发者使用被污染过的版本,建立开发环境。经过被污染过的Xcode版本编译出的App将被植入恶意逻辑,其中包括向攻击者注册的域名回传若干信息,并可能增加弹窗攻击和被远程控制的风险。
(3)采购风险
传统采购的重点放在如何和供应商进行商业交易的活动上,其特点是比较重视交易过程中价格的比较,通过供应商的多方竞争,从中选择价格最低的一方作为合作者。结合ICT产品的特点,在ICT供应链的采购环节中,还应重点关注如何保障采购物资(包括组件、部件或元器件,以及仪器仪表、生产设备、开发工具等)的完整性和安全性。例如,由于缺乏元器件的供货质量、来源安全的验证手段,无法识别完整性、真实性遭到破坏的部件、组件或元器件。
在采购环节中,除了购买产品,还会购买服务,如外包或者外协。这个过程中的安全风险主要来自提供服务的第三方。如外包或者外协人员缺乏安全技能或者安全意识,外包或者外协单位的安全控制措施不足、开发过程不规范等,都有可能给最终的产品或服务带来安全风险。
2017年,瑞典政府发现了一个严重的安全问题——外包公司对于政府敏感数据的访问权限控制存在漏洞,未获得安全许可的外包员工能够接触到敏感信息,这些信息均为重要的国家安全信息和个人信息,如瑞典公路和桥梁的承载能力;空军战斗机飞行员的姓名、照片和家庭地址;警察的姓名、照片和家庭地址;特种部队成员的姓名、照片和住址;受保护证人的姓名、照片和住址,以及其获得的保护身份;政府和军队所有车辆的所属机构、车辆型号、载重和机械缺陷;警方所登记的公民信息等。这起严重的数据泄露事故直接导致执政党遭到弹劾,两名内阁成员因此辞职。
(4)物流风险
物流安全包括信息安全、运输安全、加工安全与存储安全。在运输过程中,产品可能会被植入、篡改、替换、伪造、破坏、滞留或者丢失,这是物流环节所面临的安全风险。2014年,据美国国家安全局(NSA)前雇员爱德华·斯诺登(Edward Snowden)披露,路由器、服务器和其他网络设备从美国出口并交付给国外客户前,NSA经常拦截这些设备,然后在设备中植入后门监视工具,再用厂家的密封条重新包装设备后继续运输。NSA因此得以访问整个网络及其所有用户信息。这种攻击手段隐蔽性非常高。
在运输过程中,除存在被篡改等破坏完整性的风险外,还存在着敏感信息被泄露的风险。如在军工等敏感领域,如果物流信息被泄露了,攻击者可以通过物流信息(收货人名字、地址、货物信息等)推测出该单位近期的研发任务或者生产计划等。