今天,許多企業(yè)在部署網(wǎng)絡(luò)設(shè)備或安全防護(hù)設(shè)備時(shí),經(jīng)常會(huì)忽略要修改系統(tǒng)或設(shè)備的出廠預(yù)設(shè)密碼,然而在這種僥幸心理的作祟下,豈不知已為不法黑客的侵入提供了一道未設(shè)防的大門(mén),成為導(dǎo)致企業(yè)信息數(shù)據(jù)外泄的潛在威脅。
使用出廠預(yù)設(shè)密碼要小心
然而事實(shí)上,不只是使用者有忽略修改可連網(wǎng)設(shè)備出廠密碼的問(wèn)題,許多設(shè)備制造商更是常常使用一套“萬(wàn)年不變”的預(yù)設(shè)密碼。近日,美國(guó)工業(yè)網(wǎng)絡(luò)安全專(zhuān)家CyberX就發(fā)現(xiàn)施耐德電氣的莫迪康M340 PLC家族產(chǎn)品中存在出廠密碼的脆弱性問(wèn)題。
該密碼脆弱性可導(dǎo)致不法黑客被遠(yuǎn)程利用而造成設(shè)備無(wú)法正常運(yùn)行。據(jù)悉,在登陸設(shè)備網(wǎng)絡(luò)服務(wù)器時(shí)輸入一長(zhǎng)串密碼(至少65個(gè)字符)即可觸發(fā)設(shè)備漏洞,之后無(wú)需輸入用戶(hù)名,只要一點(diǎn)擊OK按鈕便會(huì)造成設(shè)備癱瘓。
目前施耐德已對(duì)十幾個(gè)以太網(wǎng)通信模塊和CPU進(jìn)行了固件升級(jí),并發(fā)布公告承認(rèn)通過(guò)創(chuàng)建密碼可進(jìn)入服務(wù)器遠(yuǎn)程執(zhí)行設(shè)備存儲(chǔ)代碼是很有可能的,但也表示這一可能性尚未被證實(shí)。公告列出了受影響的設(shè)備,還建議相關(guān)企業(yè)用戶(hù)堵住受影響設(shè)備上的80端口。
變更設(shè)備的出廠預(yù)設(shè)密碼十分必要
因此,對(duì)于企業(yè)用戶(hù)來(lái)說(shuō),如果在導(dǎo)入、安裝各種關(guān)鍵基礎(chǔ)設(shè)施時(shí),因?yàn)槿匀皇褂脧S商的預(yù)設(shè)密碼,而使得不法黑客只要可以入侵到這些關(guān)鍵基礎(chǔ)設(shè)施的內(nèi)網(wǎng)后,便可以輕而易舉的通過(guò)使用設(shè)備的預(yù)設(shè)密碼,而取得網(wǎng)絡(luò)系統(tǒng)的最高權(quán)限而橫行無(wú)阻的話(huà),是不是就得不償失了呢?