作者:林宜進/臺灣大學計資中心北區學術資訊安全維運中心工程師
李美雯/臺灣大學計算機及資訊網路中心程式設計師
今年一月上旬,北區學術資訊安全維運中心發現學術網路有許多開啟FTP服務的設備可以不需密碼以匿名 (anonymous) 帳號登入。透過通報各區網中心協助處理,成功地降低有資安疑慮設備之數量。本文除分析FTP匿名登入問題,並提供多項建議防範措施。
前言
今年一月上旬,北區學術資訊安全維運中心(North Academic Security Operation Center, 簡稱N-ASOC)團隊,利用Shodan搜尋學術網路,發現許多開啟FTP服務的設備可以不需密碼以匿名 (anonymous) 帳號登入。
N-ASOC利用Shodan搜尋結果,搭配WinSCP、FileZella兩種ftp軟體進行測試,篩選可FTP匿名登入的設備清單,並逐一通報各區網中心,請區網老師協助通知轄下學校盡速處理。同年三月初,N-ASOC再次檢測學術網路設備,開啟FTP匿名登入的設備數量大幅減少,但是有些學校還有蠻大的改善空間。
掃描資料分析
分析Shodan的資料,經過特定關鍵字過濾後,學術網路有上百筆資料符合FTP匿名登入的條件,而這些開啟FTP服務的設備可以不需密碼以匿名 (anonymous) 帳號直接登入。進一步比對分析,確認這些設備包含印表機/事務機及伺服器/個人電腦。
匿名帳號登入問題
一般來說,印表機/事務機的傳輸檔案方式有很多種,例如FTP、SMB、USB...等。比較常見是使用FTP方式做檔案傳輸,掃描完成的文件透過FTP方式傳到辦公室電腦或FTP伺服器。為了方便或是軟體設置設定不當而開啟匿名帳號登入,如此一來,除了印表機/事務機開啟匿名帳號登入,需FTP檔案傳輸的辦公室電腦或FTP伺服器也安裝FTP軟體允許匿名帳號登入,造成嚴重的資安漏洞。
如果印表機/事務機及伺服器/個人電腦暴露在Internet上,又未限制連線IP的話,代表任何人都可以透過FTP軟體隨意存取設備上的資料,這類型的設備除了有機敏資料外洩之風險外(參考 圖 1 ),還有可能被植入惡意程式(參考 圖 2 )。
圖 1 . FTP匿名帳號登入之機敏資料外洩範例
圖 2 . FTP匿名帳號登入之設備遭植入惡意程式
FTP軟體
網路上有些公司(非原廠)提供簡易型FTP軟體,讓使用者可以輕鬆架設FTP Server,如果使用者設定不當也很可能開啟FTP匿名登入。N-ASOC建議如果設備安裝以下FTP Server軟體,請盡速檢查是否開啟匿名登入的功能,如開啟匿名登入,請關閉其功能,並重新創建個人登入帳號:
1. Quick’n Easy FTP Server Lite
2. FTP Utility
3. KM FTP
4. PCMAN FTP Server
圖 3. FTP Utility開啟匿名登入示意圖
建議防範措施
1. 使用者端
在使用FTP相關服務時,應關閉FTP匿名登入功能,並建立個人用傳輸檔案的帳號密碼,此外可在設備內部設定防火牆,限制可連線的IP address。最後應定期備份資料、更新修補系統漏洞和使用防毒軟體掃描電腦,降低未來發生資料遺失的風險。
2. 設備端
設備管理人員應了解目前使用的印表機/伺服器開啟哪些服務,以及相關連線設定。建議關閉未提供的網路服務、設定可連線的IP address及修改登入網頁管理介面之預設的帳號密碼,以降低未來被攻擊的風險。
最後建議無論是FTP檔案傳輸之印表機/事務機或伺服器/個人電腦,都應置放在虛擬網路NAT(Network Address Translation)環境中,或者前端佈建資安設備管控,以減少暴露在Internet被攻擊入侵之機率。
參考資料
1. iT邦幫忙—Day 23 等著被駭的多功能事務機 Multi-Function Printer。2018-01-11。網址:https://ithelp.ithome.com.tw/articles/10196804
2. 技術支援–科宇。2021-04-15。網址:https://keyu.com.tw/?page_id=459
3. 驅動程式下載–GSTAR-東星事務機器有限公司。2021-04-15。網址:http://oa-gstar.com.tw/wp/driver-download/