1. 企业IT基础设施的“阿喀琉斯之踵”无处不在的弱口令你可能觉得企业花大价钱买来的防火墙、VPN、安全审计系统应该像铜墙铁壁一样安全。但实际情况是很多安全防线最脆弱的一环往往不是高深莫测的零日漏洞而是那些简单到令人发指的默认密码和弱口令。这就好比给自家保险库装上了最先进的虹膜识别锁结果钥匙就藏在门口的地毯下面上面还贴了张纸条写着“钥匙在此”。我在过去十年的安全评估和渗透测试实战中见过太多这样的场景。企业的OA系统里管理员账号密码还是出厂设置号称保护整个网络边界的防火墙登录凭证竟然是“admin/admin”用来审计所有操作日志的安全平台自己用的就是“123456”。这听起来很魔幻但每天都在真实发生。攻击者根本不需要什么高超的技术他们只需要一张从互联网上就能轻易获取的“默认口令清单”就能像拿着万能钥匙一样在企业内网里长驱直入。这个风险全景图不是危言耸听而是基于大量真实漏洞案例绘制出的威胁地图。它关乎的不仅仅是某个单一设备而是整个企业IT基础设施的连锁反应。一个OA系统的弱口令被攻破可能只是泄露了一些内部文件但如果通过这个跳板再利用防火墙的默认密码拿到网络控制权整个企业的数据流量都将暴露在攻击者眼前。今天我们就来彻底拆解这张“风险地图”看看那些看似坚固的系统与设备到底在哪些地方藏着“一捅就破”的窗户纸。2. 办公协同的“后门”OA系统的默认凭证陷阱OA办公自动化系统是企业日常运转的核心里面流转着审批流程、人事信息、财务数据甚至商业机密。然而很多主流OA产品为了部署方便都设置了初始的管理员账户和密码。如果企业在安装后没有及时修改这些账户就成了公开的“后门”。以国内广泛使用的致远OA为例它的默认账户体系就非常典型而且不同版本对应不同的高危账户。我在实际测试中不止一次用这些默认密码成功进入客户系统。比如system这个用户在致远A8版本中是系统管理员默认密码就是system。想象一下用户名和密码都是“system”这跟没设密码有什么区别攻击者一旦通过这个账户登录就拥有了系统的最高权限可以任意添加用户、访问所有模块、下载全部数据。更复杂的是集团化部署。致远A8集团版有一个group-admin账户这是集团管理员默认密码是123456。而A8企业版则有admin1账户作为单位管理员密码同样是123456。很多企业的IT管理员在部署完系统后忙于配置业务流程恰恰忘了修改这些顶层管理员的密码。此外还有一个容易被忽略的audit-admin审计管理员密码也是123456。这个账户的失陷尤其危险因为攻击者可以利用它来删除或篡改操作日志掩盖自己的入侵痕迹实现“隐身”攻击。另一个巨头泛微OA也有类似问题。其默认的超级管理员账号是sysadmin而默认密码竟然简单到就是数字1。我遇到过一些企业他们的泛微OA服务器甚至直接暴露在公网上用sysadmin/1一试就进去了里面几年的合同、报价单、员工信息一览无余。攻击者拿到这些数据可以进行精准的商业欺诈或勒索。这些OA系统的弱口令风险其危害远不止于数据泄露。它们通常位于企业内网的核心区域并且权限极高。攻击者以此为跳板可以进一步扫描内网探测其他更关键的设备如数据库、文件服务器当然也包括我们接下来要讲的安全设备。一次成功的入侵往往就是从攻破一个疏于管理的OA系统开始的。3. 守护者的“自毁开关”防火墙与VPN的致命默认密码如果说OA系统是企业的“信息枢纽”那么防火墙和VPN就是守护这个枢纽的“城门”和“秘密通道”。讽刺的是这些本应是最坚固的防线却因为厂商预设的默认口令成了最容易被突破的点。不同厂商的设备都有自己的一套默认凭证这些信息在厂商的安装手册、甚至互联网上的技术论坛里几乎半公开。我们先看防火墙这是网络边界的核心安全设备。掌控了防火墙就等于掌控了整个网络的进出流量。天融信防火墙早期版本有一个著名的默认账户superman密码是talent或talent!2。联想网御防火墙现在属于深信服则常用admin/leadsec7766或administrator/bane7766。甚至像深信服自己的设备都曾出现过将admin误拼写为admim作为默认用户名的情况。一些默认密码看似复杂实则规律明显。例如多家厂商的密码中出现了“7766”这个后缀这几乎成了一种不安全的“行业惯例”。华为防火墙的Admin123虽然包含了大小写字母和数字符号但因其过于常见和规律也早已被收录进各类暴力破解字典。H3C防火墙的admin/admin更是“经典”组合。阿姆瑞特、安恒明御、网神、启明星辰、黑盾等品牌的设备都曾存在或仍然存在类似的简单默认密码问题。更值得警惕的是VPN设备。VPN为企业员工提供远程安全接入内网的通道一旦被攻破攻击者就等于获得了一张合法的“内部通行证”。华为VPN设备曾有默认账户root/mduadmin。天融信VPN的测试账户test/123456若未删除则风险极高。通过VPN漏洞进入内网攻击行为会混杂在正常的远程办公流量中难以被发现。这些安全设备的弱口令危害是灾难性的。攻击者登录防火墙后可以随意修改安全策略例如开放危险端口、将恶意流量指向内部服务器、甚至设置端口镜像将全部流量复制到攻击者控制的地址。而通过VPN进入内网则可以进行长期的、潜伏式的渗透慢慢窃取数据或部署勒索软件。这些设备本身的日志功能很强大但如果管理员账号被控日志也可能被清除或篡改使得安全事件无从追溯。4. “监守自盗”的审计员安全审计系统的尴尬漏洞这是整个风险全景图中最具讽刺意味的一环安全审计系统本身的安全漏洞。这些系统的职责是监控、记录和分析全网所有设备、应用和用户的行为是事后追溯和取证的关键。但如果审计系统自己都门户大开那所有的监控都将形同虚设。很多审计系统在初始化时也预设了管理员账户。例如中科新业的网络安全审计系统默认就是admin/123456。LogBase日志管理综合审计系统默认是admin/safetybase。网康的日志中心设备曾使用ns25000/ns25000作为默认凭证。这些密码的强度显然不符合一个安全产品应有的标准。以绿盟科技的多款安全产品为例这个问题曾经非常集中和典型。他们的IPS入侵防御系统、SASH运维安全管理系统、SAS安全审计系统、DAS数据库审计系统等多款产品共用一套类似的默认账户体系。我在一次内部安全演练中就曾利用这份清单进行测试默认用户名默认密码常见对应角色sysauditorsysauditor系统审计员sysmanagersysmanager系统管理员supervisorsupervisor监控员weboperweboperWeb操作员adminnsfocus管理员这份列表很长核心问题在于用户名和密码相同或者密码是简单的产品型号、公司名。攻击者如果通过其他途径如OA、防火墙进入内网第一件事往往是扫描这些安全管理平台的IP地址。一旦用默认密码登录成功他就能获得“上帝视角”。你可以想象一下这个场景攻击者控制了数据库审计系统DAS他不仅可以查看所有数据库的访问记录窃取核心数据还可以修改审计规则让自己后续的拖库行为不被记录。他控制了运维安全管理系统SASH就能获取服务器堡垒机的登录权限。他控制了安全审计系统SAS就能抹去自己在所有设备上的操作日志。这就好比小偷不仅进了你家还先把你家的监控录像主机给格式化了真正做到来无影去无踪。5. 连锁爆破从单点失陷到全域沦陷的攻击路径单独一个弱口令可能只会造成局部风险但现实中的攻击者从不满足于此。他们会利用企业内各种系统、设备之间存在的信任关系和网络可达性发起“连锁爆破”将单点漏洞放大为全域性灾难。我把它称为“多米诺骨牌式”的攻击路径。第一步信息收集与外围突破。攻击者通常从公网开始。他们可能通过搜索引擎如Shodan、Fofa直接寻找暴露在公网的企业OA登录界面、VPN入口、甚至是防火墙的管理口。然后使用准备好的“企业常用默认口令字典”进行批量尝试。这个字典就包含了我们前面提到的所有常见设备的默认密码。由于很多企业运维人员存在“重功能、轻安全”的思维公网设备未改密的情况屡见不鲜。一旦某个点被突破比如一个VPN账号攻击者就获得了进入内网的立足点。第二步横向移动与权限提升。进入内网后攻击者的视野豁然开朗。他们会进行内网扫描发现更多存活的主机和设备。这时攻击策略从“广撒网”变为“精准打击”。他们会针对扫描到的IP尝试用同一套或扩展的默认密码字典去登录发现一个.1的IP是防火墙尝试admin/admin123、admin/bane7766。发现一个.10的IP是Web应用防火墙尝试admin/admin。发现一个.100的IP是安全审计平台尝试admin/123456、sysadmin/sysadmin。由于内网环境通常比公网宽松缺乏有效的网络隔离和登录失败锁定机制这种爆破可以 quietly 地、持续地进行。只要有一个设备“中招”攻击者就能获得该设备的控制权并以该设备为新的跳板扫描之前无法到达的网络区域。第三步控制核心与巩固战果。在控制了一定数量的网络设备和安全设备后攻击者开始追求最高权限和持久化。控制防火墙意味着可以重定向流量、设置后门端口。控制安全审计系统意味着可以清除入侵日志。最终攻击者可能会瞄准域控制器、核心数据库服务器或文件服务器。他们利用已控制的设备作为代理或隧道发起更复杂的攻击。更可怕的是由于攻击路径穿过了多个“合法”的管理设备传统的安全监控很难将这些离散的异常登录关联起来误以为是管理员在不同设备上的正常操作。整个攻击链中弱口令就像一串被放在同一个钥匙环上的钥匙丢了一把可能意味着所有的门都不再安全。防御这种攻击不能只盯着某一个系统必须从整个资产管理的视角全面清查和加固所有可能的入口点。6. 实战演练如何绘制并加固你的企业弱口令风险地图知道了风险在哪关键是如何行动。纸上谈兵不如实战演练下面我结合自己的经验分享一套可落地的自查与加固方法。你可以把它当作一次内部的安全健康体检。第一步资产发现与清单整理。这是所有安全工作的基础。你需要弄清楚企业里到底有多少台设备、多少套系统。这不仅仅是IT部门的事需要联动业务部门。制作一张详细的资产清单表格至少包含以下信息资产类型如“防火墙-华为-USG6600”、“OA-致远-A8”、“VPN-深信服”、“审计系统-绿盟SAS”。IP地址/管理地址设备的管理IP特别是那些可能被隐藏的带外管理口地址。管理URLWeb管理界面的访问地址。责任人该资产的具体运维负责人。凭证状态密码是否已修改修改强度如何是否定期更换这个过程可能会很繁琐但至关重要。很多安全事件就源于一些早已被遗忘的、无人维护的测试系统或老旧设备。第二步针对性弱口令扫描与验证。有了资产清单就可以进行扫描。注意必须在获得授权的前提下在规定的维护窗口期进行避免影响业务。不建议使用粗暴的、大范围的暴力破解工具那样可能触发锁定或产生大量告警噪音。更稳妥的方法是“凭证验证”。你可以整理一份针对自己企业资产的“自定义弱口令字典”。例如# 自定义字典示例 (weak_passwords_custom.txt) # 致远OA system:system group-admin:123456 admin1:123456 # 华为设备 admin:Admin123 # 绿盟系列 sysadmin:sysadmin supervisor:supervisor admin:nsfocus然后使用像Hydra、Medusa这样的工具针对特定的IP和协议如HTTP、HTTPS、SSH进行低频率的登录尝试。或者更好的方法是直接联系各资产责任人要求其提供在安全渠道下或自行验证当前密码强度是否符合公司安全策略例如长度大于12位包含大小写、数字、特殊字符非常见组合。第三步强制整改与统一管理。对于发现的弱口令或默认口令必须立即强制修改。制定统一的密码复杂度策略长度至少12位。必须包含大小写字母、数字、特殊符号中的至少三种。避免使用公司名、产品名、常见单词、重复或连续字符。严禁多个设备使用相同密码。修改密码只是第一步如何安全地存储和分发这些高权限密码更是挑战。强烈建议引入特权访问管理PAM系统。所有设备的超级管理员密码不再由个人记忆或保存在本地文件而是存入PAM系统的加密仓库中。访问时需要申请、审批、动态获取并且所有操作过程被全程录像会话审计。这样即使某个管理员账号凭证泄露攻击者也无法直接使用。第四步建立持续监控与审计机制。安全不是一次性的任务。你需要建立持续的监控机制在防火墙、VPN、审计系统等关键设备上启用登录失败锁定功能如连续5次失败锁定账户15分钟。配置日志服务器集中收集所有设备的管理员登录日志并设置告警规则。例如对“非工作时间登录”、“从非常见IP地址登录”、“使用默认用户名登录失败”等事件进行实时告警。定期如每季度或每半年重复第一步到第三步的流程进行弱口令复查尤其是在系统升级、设备更换、人员离职后。我在帮客户做安全加固时最常看到的问题就是“以为改过了”。实际上可能只改了生产系统而测试、备份系统没改或者只改了主管理员而备用账户没改。只有通过这种地毯式的、周期性的自查才能把弱口令这个看似低级的风险真正地管控起来。这张“风险地图”不是画出来就完了它需要被持续地更新、审视并作为企业安全运营的核心参考之一。