什么是iSCSI存储集群？通过Shodan提供数千个iSCSI群集

在没有密码的情况下，网络犯罪集团可以登陆你的iSCSI存储集群，窃取商业机密，这绝非危言耸听!!

据ZDNET报道，在用户忘记启用iSCSI存储集群的身份验证密码后，仍然能够通过Internet进行访问，让其保持在联机状态，而这种错误的配置，极有可能对设备的所有者带来严重伤害，让网络犯罪集团能够访问这些连接在互联网上的硬盘(存储磁盘阵列和NAS设备)，用恶意软件替换合法文件，在备份中插入后门或窃取存储在未受保护设备上的公司信息。

这样的iSCSI存储群集设备，目前居然有13000多个。

什么是iSCSI存储集群

iscsi代表Internet小型计算机系统接口，是将工作站和服务器连接到数据存储设备(如数据中心和大型企业的磁盘存储阵列)和网络连接存储(NAS)设备(中小企业和家庭中常用)的协议。

协议的主要目的是允许操作系统查看和与远程存储设备交互，就好像它是本地组件一样，而不是基于IP的可访问系统。

iSCSI是现代计算行业的核心组件，因为它允许虚拟机(VMS)从远程硬盘驱动器启动，就像使用本地设备一样;允许公司集中管理存储系统，而不破坏无法处理基于IP的网络存储路径的应用程序。并且，iSCSI是许多数据复制解决方案的关键部分。

错误配置boo-boo

由于iSCSI存储系统通常包含敏感数据，因此iSCSI协议支持各种身份验证协议，用户可以自己设置这些协议，以防止未经授权方连接到其存储集群和访问存储驱动器，并与数据交互或创建新的存储驱动器。

但是，就像许多互联网连接的设备(如路由器、数据库、Web服务器和其他设备)一样，有一小部分设备所有者未能遵循最低安全措施，并使其存储阵列在未经身份验证的情况下处于联机状态。这意味着，任何了解这些系统基本细节的人都可以通过简单的YouTube视频教程，连接到这些存储集群。这些存储集群有可能是公司数据中心内的大型磁盘阵列，也可能是办公室角落里的小型NAS设备。

通过Shodan提供数千个iSCSI群集

周末，渗透测试仪的一个影子提示ZDNET这个非常危险的错误配置问题。研究人员在搜索引擎Shodan上发现了超过13500个iSCSI集群，该搜索引擎为互联网连接的设备编制索引。

在与zdnet的一次在线对话中，研究人员将这种iSCSI暴露描述为一种“危险的后门”，它允许网络犯罪分子在公司的网络上种植受勒索软件感染的文件，窃取公司数据;或将后门放在备份文件中，当公司恢复其中一个陷阱文件时，这些备份文件就有可能会被激活。

ZDNet粗略调查了一小部分暴露的iSCSI集群样本，发现了一个YMCA分支机构、一家俄罗斯政府机构以及来自全球各地的多所大学和研究机构的无密码可访问的iSCSI存储系统。

zdnet发现，许多暴露了一个iscsi集群的IP地址也为NAS设备提供了受密码保护的web面板，这表明这些设备已通过web面板的密码而不是iscsi端口得到了正确的保护。

除了我们的单独调查外，一位花了几天时间分析结果的影子说，这些iSCSI集群中，有许多还属于私人公司，这可能是网络犯罪集团的理想目标，尤其是针对巨额赎金支付的勒索软件团伙。

这样的系统在短时间的查找中，可能会难以在shodan搜索结果中找到，但毫无疑问，一个寻求利润最大化的网络犯罪团伙会愿意彻底研究每个暴露在外的iSCSI集群，以备下一次大打击。