GoAhead存高危漏洞，数十万IoT 设备恐遭殃。据澳大利亚信息技术安全公司Elttam 的安全研究人员发现，开源 GoAhead Web 服务存在高危漏洞（CVE-2017-17562），可能利用执行远程执行恶意代码。

u  GoAhead是什么？其应用的产品都有哪些？

GoAhead 是美国Embedthis 软件公司的一款嵌入式 Web 服务器。Embedthis官网的信息显示，这款产品目前部署在多款业内知名厂商的产品中，包括Comcast、甲骨文、D-Link、中兴、惠普、西门子、佳能等。

u  受影响范围

Embedthis GoAhead3.6.5 之前的版本均受到影响。从 Shodan 的搜索结果来看，受影响的设备介于50 万至 70 万之间。Elttam 已发布 PoC 代码供其它研究人员查看是否有受影响的设备。

u 漏洞更新情况？

Embedthis 公司收到Elttam 的漏洞报告之后发布了补丁。虽然有补丁可用， 但所有硬件供应商要在所有受影响设备的固件更新中集成补丁可能需要数月，乃至数年，而有些设备还会因为太过老旧不会收到更新。

“123456”依然是 2017  年最不安全的

弱密码。2017 年发生过多起大型数据泄露事

件。根据专家的调查与分析，“123456”依然是网友最常用的密码。而在国外研究人员发布的最烂密码Top 100 榜单中，每个密码都令人哭笑不得，却又带来风险。

u 什么是弱密码？

弱密码（Weakpasswords）即容易破译的密码，多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名。这类密码因为很方便记忆，所以被大量使用，但是也非常容易让他人猜测到，更容易被黑客暴力破解。终端设备出厂配置的通用密码等都属于弱密码范畴。

u 常见的弱密码都有哪些？

美国密码管理应用公司 Splashdata 每年都会公布一份“年度最弱密码”榜单。今年的榜单上，“123456”依旧稳坐榜单第一位，它在 2013 -2016   年间都是第一位。连续四年卫冕亚军的， 是“ 密码本人”的“password”。能进入排行榜前十的还有基于键盘键位的“qwerty”、情景感十足的“letmein （ 让我 进去 ）” 、 以 及 “football” 和“iloveyou”。 值得一提的是，“starwars”首次上榜，排位第16 ， 也许是出于《星战：最后的绝地武士》效应。而《权力的游戏》启发的“dragon”位置也上升了一位，处于第 18 位。

u 那么，对于企业来说，该如何规避此类风险？

许多企业花费了许多精力在技术部署上，各种技术性防护措施部署非常到位，但是却难以杜绝员工使用弱口令。密码被黑客获取，就好比小偷得到家里的钥匙，即时防盗门再好也无济于事。因此，解决弱口令问题，关键在于采取适当的解决方法。通常情况下，大部分企业会选择这些做法：

a)   进行员工培训，提高员工的网络安全意识

b)   在制度上严格规定，规范公司账号密码使用方法

c)   通过技术手段对弱口令进行限制