近期，CISA和USCG对一家关键基础设施组织进行了威胁狩猎，虽然未发现实际入侵，但识别出六类高风险安全缺陷。这些漏洞包括共享明文存储的本地管理员账户、IT与OT网络隔离不足、日志记录不完善、IIS服务器sslFlags配置错误以及SQL连接字符串集中化等。文章详细阐述了这些风险的潜在影响，并提供了与NIST网络安全性能目标及MITRE ATT&CK框架对齐的缓解措施，强调了安全控制的验证和测试的重要性。

🔑 **共享且明文存储的本地管理员账户**：文章指出，部分本地管理员账户使用非唯一密码，且这些凭证以明文形式存储在批处理脚本中，并被授权在多台主机上共享。这极大增加了未经授权访问的风险，并为攻击者在网络中横向移动提供了便利，他们可以通过搜索特定字符串轻松获取管理员密码。

🌐 **IT与OT网络隔离不足**：IT和运营技术（OT）环境之间的网络隔离配置存在缺陷，标准用户账户可以直接访问SCADA VLAN。这种不充分的隔离以及不足的网络访问控制，使得IT网络中的非特权用户能够访问关键的SCADA VLAN，从而可能对人员安全和基础设施功能造成现实世界的风险。

📝 **日志记录不足与实施不力**：由于事件日志系统不完善，CISA在威胁狩猎过程中受到限制，无法充分检测某些攻击技术。缺乏详细的日志记录和正常网络行为基线，严重阻碍了对复杂威胁行为者TTPs的识别和分析，降低了安全态势的可视性。

🔒 **IIS服务器sslFlags配置错误**：HTTPS绑定中的sslFlags配置错误（如sslFlags=“0”）导致IIS采用旧模式，禁用了现代证书管理功能，且默认禁用客户端证书强制执行。这使得服务器容易受到中间人攻击，并可能允许未经授权的客户端冒充合法用户访问敏感资源。

🔗 **SQL连接字符串集中化**：生产服务器上的machine.config文件配置了集中的数据库连接字符串，导致所有ASP.NET站点共享相同的数据库和凭证。这种单点故障的模式增加了风险，一旦中央SQL数据库服务器出现漏洞，所有依赖该服务器的应用程序都将受到影响。此外，过短的最小密码长度设置也增加了暴力破解的风险。

HackerNews 编译，转载请注明出处：

近期，网络安全和基础设施安全局（CISA）和美国海岸警卫队（USCG）分析师对一家关键基础设施组织开展了威胁狩猎行动，旨在探测潜在恶意活动。CISA官网发布了专项报告，虽未发现实际入侵证据，但识别出6类高风险安全缺陷，威胁者可利用这些漏洞突破网络防御。缓解措施与NIST网络安全性能目标（CPGs）及MITRE ATT&CK框架对齐。

核心安全风险与潜在影响

1、在多台主机上共享且以明文形式存储的本地管理员账户

详细信息：CISA 发现了一些本地管理员账户，这些账户使用非唯一密码，并且这些账户在许多主机上被共享。每个账户的凭证以明文形式存储在批处理脚本中。这些经过授权的脚本被配置为创建具有本地管理员权限的用户账户，然后设置相同的、永不过期的密码——这些密码以明文形式存储在脚本中。潜在影响：在许多主机上以明文脚本形式存储本地管理员凭证，增加了广泛未经授权访问的风险，而使用非唯一密码则便于在网络中横向移动。能够访问包含这些批处理脚本的工作站的恶意行为者可以通过在文件系统中搜索诸如“net user /add”之类的字符串，识别包含用户名和密码的脚本，并获取这些本地管理员账户的密码，从而移动。

2、IT 和运营技术环境之间网络隔离配置不足

详细信息：在评估客户 IT 和运营技术（OT）环境之间的互连性时，CISA 发现 OT 环境未正确配置。具体来说，标准用户账户可以直接从 IT 主机访问监督控制与数据采集（SCADA）虚拟局域网（VLAN）。潜在影响：OT 网络隔离配置不足、网络访问控制（NAC）不足，以及 IT 网络中的非特权用户使用其凭证访问关键 SCADA VLAN [T1078]，带来了安全和安全风险。鉴于 SCADA 和 HVAC 系统控制物理过程，这些系统的入侵可能会产生现实世界的后果，包括对人员安全、基础设施完整性和设备功能的风险。

3、日志记录不足和实施不足

详细信息：由于该组织的事件日志系统不足以进行此类分析，CISA 无法按照既定的狩猎计划对每一个 MITRE ATT&CK®程序进行狩猎。潜在影响：缺乏全面且详细的日志记录，以及未建立正常网络行为的基线，阻碍了 CISA 进行彻底的行为和异常检测。这一限制妨碍了对某些 TTPs（如利用本地工具的攻击技术、使用有效账户 [T1078] 以及其他复杂威胁行为者使用的 TTPs）的搜索。

5、IIS服务器sslFlags配置错误：

详细信息：CISA 发现一个 HTTPS 绑定配置为 sslFlags=“0”，这使得 IIS 保持在其旧版“每个 IP 地址一个证书”的模式中。该模式禁用了现代证书管理功能，而且由于必须在“SSL 设置”中单独启用或通过添加 来启用相互传输层安全（TLS）（客户端证书认证），因此该绑定默认情况下禁用了客户端证书强制执行。此外，sslFlags 不控制协议或加密套件的选择，可能会接受过时的协议或弱加密套件。潜在影响：sslFlags 配置错误可能会使威胁行为者尝试中间人攻击 [T1557]，以拦截客户端与 IIS 服务器之间传输的凭证和数据。此外，由于未启用客户端证书强制执行，使服务器面临风险，未经授权或恶意的客户端可能会冒充合法用户，从而在未经适当授权的情况下访问敏感资源。

6、SQL连接字符串集中化：

详细信息：CISA 查看了生产服务器上的 machine.config 文件，发现该文件配置了一个集中式数据库连接字符串 LocalSqlServer，用于配置文件和角色提供程序。这种配置意味着，除非在每个应用程序的 web.config 文件中进行覆盖，否则服务器上的每个 ASP.NET 站点都将连接到同一个结构化查询语言（SQL）Express 或 aspnetdb 数据库，并共享相同的凭证，CISA 发现 machine.config 文件将 minRequiredPasswordLength 设置为少于 15 个字符，而 15 个字符是 CISA 推荐的密码。潜在影响：使用集中式数据库方法会增加风险，因为该中央 SQL 数据库服务器的一个漏洞或配置错误可能会危及依赖该服务器的所有应用程序。这会形成一个单一故障点，可能会被攻击者利用。此外，将最小密码长度设置为少于 15 个字符，更容易受到各种形式的暴力攻击，这可能会导致数据泄露、数据篡改或数据库丢失。

缓解措施

尽管在这次行动中未发现恶意活动，但建议关键基础设施组织审查并实施本通告中列出的缓解措施，以防止潜在的入侵行为，更好地保护美国的国家基础设施。这些缓解措施按重要性顺序列出，如下所示：

1、不要以明文形式存储密码或凭证。相反，应使用安全的密码和凭证管理解决方案，例如加密的密码保险库、托管服务账户或部署工具的内置安全功能。

确保所有凭证在静止状态和传输过程中均被加密。实施严格的访问控制并定期进行审计，以安全地管理访问凭证的脚本或工具。使用代码审查和自动化扫描工具检测并消除主机或工作站上存在的明文凭证实例。强制执行最小权限原则，仅授予用户和进程完成其功能所必需的访问权限。

2、避免共享本地管理员账户凭证。相反，应使用诸如微软本地管理员密码解决方案（LAPS）之类的工具为每个账户分配独特且复杂的密码，这些工具可以自动化密码管理和轮换。

3、对所有管理访问（包括本地和域账户）以及远程访问方式（如远程桌面协议（RDP）和虚拟专用网络（VPN）连接）强制实施多因素认证（MFA）。

4、实施并强制执行严格政策，仅使用从 IT 网络隔离且配备防网络钓鱼 MFA 的加固型跳板主机来访问工业控制系统（ICS）/OT 网络，并确保常规工作站（即用于访问 IT 网络和应用程序的工作站）不能用于访问 ICS/OT 网络。

5、在所有系统（包括工作站、服务器、网络设备和安全设备）上实施全面（即覆盖范围广）且详细的日志记录。

确保日志记录信息，如身份验证尝试、带有参数的命令行执行以及网络连接等。按照组织政策和合规要求，将日志保留适当期限，以便进行彻底的历史分析，并将日志聚合到带外的集中位置，例如安全信息事件管理（SIEM）工具中，以防止日志被篡改并便于高效分析。

验证安全控制

除了应用缓解措施外，CISA 和 USCG 建议根据 MITRE ATT&CK 企业框架中描述的威胁行为，对组织的安全计划进行测试和验证。CISA 和 USCG 建议测试现有的安全控制清单，以评估它们对本通告中描述的 ATT&CK 技术的性能。

选择本通告关联的ATT&CK技术（如T1021.001）；对齐现有防护工具检测能力；模拟攻击验证防护性能；调整安全策略（人员/流程/技术）。

 

 

 

---

完整版英文报告详见：CISA； 中文版翻译报告链接：seebug

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文