嵌入式凭据,也经常被称为硬编码凭据,是源代码中的纯文本凭据。密码/凭证 硬编码  指将纯文本(非加密)凭据(帐户密码,SSH键,Devops Scrects等)嵌入纯文本(非加密)凭据(帐户密码,SSH键,Devops Screcets等)。

但是,硬编码凭证的做法越来越令人沮丧,因为它造成了由恶意软件和黑客常规利用的强大安全风险。在某些情况下,威胁演员(可能与Nation-State对齐)可以插入硬件凭证以创建后门,允许它们持久访问设备,应用程序或系统。

此博客旨在提供嵌入式/凭据的概述,并将涵盖它们通常发现的位置,如何使用硬件凭据,它们构成的风险,管理它们的挑战,以及用于在企业中寻求嵌入式凭据的四种最佳实践。

如何使用嵌入密码以及它们在哪里找到?

制造商和软件公司通常是硬件,固件,软件,IOT和其他设备,脚本,应用程序和系统的硬件密码,因为它有助于简化规模的部署。开发人员和其他用户还可以将凭据嵌入到代码中,以便于作为工作流程的一部分轻松访问。

硬编码凭证的支持者还声明它提供了额外的保证层,以便未编纂的用户无法使用代码或产品来篡改。

密码通常嵌入:

  • 软件applications, both locally installed and cloud-based
  • BIOS和其他固件跨计算机,移动设备,服务器,打印机等。
  • 物联网(物联网)设备和医疗设备
  • devops工具
  • 网络交换机,路由器和其他控制系统(SCADA等)

嵌入式密码通常用于:

  • 设置新系统
  • API和其他系统集成
  • 加密和解密密钥
  • 特权和超级用户访问
  • 应用程序到应用程序(A2A)和应用到数据库通信

为什么嵌入式/硬编码凭证风险?

硬编码凭证是有利的,用于密码猜测漏洞的网络攻击目标,允许黑客和恶意软件到劫持固件,设备(例如健康监控设备),系统和软件。

通常,在所有应用程序(许多需要升高特权的许多特权)或由特定系列中的制造商/软件开发公司生产的设备中使用相同的硬件凭证或有限数量。因此,一旦黑客知道默认密码,它们可能会妨碍所有类似的设备或应用程序实例。这种利用导致一些大规模的网络攻击,这导致了大规模的安全漏洞,全球中断,甚至危害危险的关键基础设施。

此外,开发人员和其他IT人员经常在代码中嵌入密码,以便在需要时轻松访问。但是,有时这些密码被遗忘并保持在代码中的嵌入式纯文本。有时代码甚至甚至发布(例如github),与广泛可用扫描工具的任何人都可以轻松发现的纯文本密码。这显然是发生的事情 优步漏洞 曝光信息5700万客户,加上大约600,000名司机。 UBER员工在源代码中发布了明文凭据。此代码在某些时候,无意中发布在Github上,由开发人员使用的流行存储库。它可能没有为观察黑客采取太大的技术剧本,以便注意GitHub上的嵌入式凭据,然后使用它们在优步的Amazon AWS实例上获得特权访问。

硬编码不仅为特定设备,固件,应用程序等提供了网络风险,还为连接IT生态系统的其他组件提供了一种网络风险。此外,无辜的第三方可能会受到硬度疏忽的影响,因为他们可以通过硬件凭证妥协奴役的设备僵局的DDOS攻击来攻击。这正是Mirai恶意软件发生的事情,这在2016年底崛起(尽管在所有可能性中,它都在前面的活动。

Mirai使用BusyBox(如DVRS和Webip Cameras)以及无人值守的Linux服务器扫描基于Linux的IoT框的Telnet服务。通过蛮力攻击,然后申请一张表 61已知的硬编码默认用户名和密码 要尝试登录。 Mirai及其变体用于组装IOT设备的巨大僵尸网络,最多约40万个连接的设备,对其大多数所有者都不知道。与迄今为止,米理相关僵尸网络发出了一些最具破坏性的DDOS攻击。 Mirai IoT Botnet的受害者包括法国电信,克雷布斯在安全,Dyn,Deutsche Telecom,俄罗斯银行和利比里亚国家 - 所有这些都是由于DDOS列出的结果而遭受了大量的停机时间。

此外,DevOPS工具通常有脚本或文件中嵌入的秘密,这可能会危及整个自动化过程的安全性。因此,对嵌入式密码和键的获取控制是必不可少的要求  秘密管理 and devops安全.

(使用BeyiteTrust 免费企业IOT扫描仪 针对组织的IOT生态系统上查找默认和/或嵌入式凭据,并进行缓解威胁的路径)。

管理的主要挑战&保护嵌入式密码

操作风险: 常常创建硬编码凭证,意图是他们从未被改变 - 尽管存在陈旧密码存在的风险。因此,管理员可能会谨慎态度试图改变某些类型的嵌入式密码,以担心破坏系统中的某些东西,并可能扰乱公司运营。

有限的可见性和意识:中型组织可能具有数十万甚至数百万的密码,键和跨设备,应用程序和系统的其他秘密。其中一些可能包括阴影,这甚至从它的视线中进一步笼罩着。了解所有组织的嵌入式密码存在的地方可以呈现令人生畏的事业 - 特别是没有正确的任务工具。获得所有嵌入式/硬编码凭证的可见性需要全面的审计和发现过程。作为公司IT策略,您还应始终查看有关硬编码和默认密码的供应商文档,因此您可以立即计划修复作为部署的一部分。

工具不足: 不幸的是,没有可行的手动方法来检测或集中管理存储在应用程序或脚本中的密码。在首先将密码与代码分开时,保护嵌入式凭据铰链,以便在它不使用时,它是安全的 集中密码安全,而不是在纯文本中不断暴露。

一些IT安全供应商提供 特权密码管理解决方案 这能够不断发现硬编码和默认密码,并在管理下带来它们,包括强制旋转密码旋转和其他最佳实践。

4种方法可以减轻嵌入式密码的风险

如果您想减少嵌入密码的曝光,您可以采取几步:

  1. 在管理层下带来应用程序密码: 介绍第三方 特权密码管理 or 应用程序密码管理解决方案 遍及整个企业的默认和硬编码凭据,并强制应用程序,脚本等来调用(或请求)从集中密码安全使用密码。一旦凭据受到管理,该工具就可以强制执行密码安全最佳实践,包括密码旋转,密码长度和唯一性,从而大大减少网络风险。 
  2. 拒绝购买包含硬编码凭据的软件或硬件:拒绝使用HarcDodded密码漏洞购买软件和硬件,有助于对供应商施加压力以消除这种糟糕的安全实践。加利福尼亚沿着这个方向迈出了一步 通过法律 从2020年开始,禁止消费者设备中的默认密码。通过嵌入和默认身份验证凭据来获取更多规定的预定规定。
  3. 漏洞管理: 软件和产品供应商定期发布修补程序以解决缺陷,例如具有硬编码密码。如果你有彻底的话 漏洞扫描 和修补程序管理过程到位,您可以迅速解决这些问题后,一旦识别出来,并且可以使用补丁。
  4. 执行笔测试: 对于具有最严格的安全环境的组织,招聘外部笔测试仪探讨和漏洞的漏洞,例如硬编码和默认凭据,提供了额外的主动网络防御。

BeyiteTrust有助于成千上万的组织 消除嵌入式凭据各种各样,并在管理层下带来。 联系我们 了解更多内容,或获得个性化的演示。

Source://www.bomgar.com/blog