 描述
产品采用弱的凭证(如一个默认键或硬编码的密码),可以计算,推导出,重用,或由攻击者猜测。
扩展描述
通过设计,身份验证协议试图确保攻击者必须执行蛮力攻击,如果他们不知道凭证如钥匙或密码。然而,当这些凭据很容易预测,甚至固定(如违约或硬编码的密码和钥匙),攻击者就能够击败机制没有依靠蛮力。
凭证可能疲软的原因各不相同,如:
- 硬编码(即。由管理员、静态不变的)
- (即违约。,相同的静态值在不同的部署/安装,但是管理员可以更改)
- 可预测的(即。生成,产生独特的凭证在部署/安装,但仍然可以猜到合理效率)
即使一个新的,独特的凭据是为每个产品安装生成,如果代是可预测的,那么也可以简化猜测攻击。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”研究概念”(cwe - 1000)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
1390年 |
弱的身份验证 |
| ParentOf |
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
521年 |
弱密码要求 |
| ParentOf |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
798年 |
使用硬编码的凭证 |
| ParentOf |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
1392年 |
使用默认凭证 |
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
示范例子
示例1
2022年,OT:冰崩研究调查了10个不同的操作技术(OT)供应商的产品。研究人员报道,56个漏洞,说产品是“不安全的设计”(ref - 1283]。如果这些漏洞利用,往往让对手改变产品运营,从拒绝服务改变产品执行的代码。因为这些产品经常被应用于行业,如电力、电气、水,和其他人,甚至会出现安全问题。
多个产品使用弱凭证。
观察到的例子
| 参考 |
描述 |
|
|
远程终端装置(RTU)使用SSH账户默认凭证 |
|
|
分布式控制系统(DCS)使用一个确定性算法生成工具的密码 |
|
|
远程终端装置(RTU)使用一个硬编码的SSH私有密钥可能是用于典型的部署 |
|
|
单片机板默认密码,允许管理员访问 |
|
|
数据可视化/共享包使用默认密钥或cookie值如果不指定环境变量 |
|
|
密码管理器不生成强密码的加密,使预测的密码使用可推测的时间等细节的一代 |
|
|
密码发生器对云应用程序小长度值,方便强力猜测 |
|
|
网络附加存储(NAS)系统可预测诊断/支持账户的默认密码 |
|
|
它资产管理应用程序默认加密密钥,在安装是一样的 |
|
|
安装脚本有一个硬编码的秘密令牌值,允许攻击者绕过身份验证 |
|
|
入侵检测系统(IDS)使用相同的静态的,为多个设备和安装私有SSL密钥,允许解密的SSL通信 |
|
|
住宅网关使用的最后5位数的网络名称或名称作为默认WEP密钥,它允许攻击者被嗅探关键名称,发送清晰 |
引用
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
