De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dringt er bij fabrikanten op aan om standaardwachtwoorden op systemen die aan internet zijn blootgesteld, helemaal af te schaffen, daarbij verwijzend naar ernstige risico’s die kunnen worden uitgebuit door kwaadwillende actoren om initiële toegang te krijgen tot en zich lateraal binnen organisaties te verplaatsen.
In een waarschuwing die vorige week werd gepubliceerd, riep het agentschap Iraanse dreigingsactoren op die zijn aangesloten bij de Islamitische Revolutionaire Garde (IRGC) voor het exploiteren van operationele technologieapparaten met standaardwachtwoorden om toegang te krijgen tot kritieke infrastructuursystemen in de VS.
Standaardwachtwoorden verwijzen naar standaardsoftwareconfiguraties voor ingebedde systemen, apparaten en apparaten die doorgaans openbaar gedocumenteerd zijn en identiek zijn voor alle systemen binnen de productlijn van een leverancier.
Als gevolg hiervan kunnen bedreigingsactoren met behulp van tools als Shodan zoeken naar eindpunten die aan het internet zijn blootgesteld en proberen deze te doorbreken via standaardwachtwoorden, waarbij ze vaak root- of beheerdersrechten verkrijgen om post-exploitatieacties uit te voeren, afhankelijk van het type systeem.
“Apparaten die vooraf zijn voorzien van een combinatie van gebruikersnaam en wachtwoord vormen een ernstige bedreiging voor organisaties die deze na de installatie niet wijzigen, omdat ze een gemakkelijk doelwit zijn voor een tegenstander”, merkt MITRE op.
Eerder deze maand onthulde CISA dat aan de IRGC gelieerde cyberactoren die de persona Cyber Av3ngers gebruiken zich actief richten op en compromitteren van in Israël gemaakte Unitronics Vision Series programmeerbare logische controllers (PLC’s) die publiekelijk worden blootgesteld aan het internet door het gebruik van standaardwachtwoorden (“1111 “).
“Bij deze aanvallen was het standaardwachtwoord algemeen bekend en werd het gepubliceerd op open forums waar bekend is dat bedreigingsactoren inlichtingen verzamelen voor gebruik bij het binnendringen van Amerikaanse systemen”, voegde het agentschap eraan toe.
Als beperkende maatregelen worden fabrikanten aangespoord om de principes van veilig ontwerp te volgen en unieke instelwachtwoorden bij het product te leveren, of om dergelijke wachtwoorden na een vooraf ingestelde tijdsperiode uit te schakelen en van gebruikers te eisen dat ze phishing-resistente multi-factor authenticatie (MFA)-methoden inschakelen.
Het bureau adviseerde leveranciers verder om veldtests uit te voeren om te bepalen hoe hun klanten de producten in hun omgeving inzetten en of er sprake is van het gebruik van onveilige mechanismen.
“De analyse van deze veldtesten zal helpen de kloof te overbruggen tussen de verwachtingen van ontwikkelaars en het daadwerkelijke gebruik van het product door klanten”, aldus CISA in zijn richtlijnen.
“Het zal ook helpen bij het identificeren van manieren om het product te bouwen, zodat klanten het waarschijnlijk veilig zullen gebruiken. Fabrikanten moeten ervoor zorgen dat de gemakkelijkste route de veilige route is.”
De onthulling komt op het moment dat het Israel National Cyber Directorate (INCD) een Libanese dreigingsacteur met connecties met het Iraanse Ministerie van Inlichtingen heeft toegeschreven voor het orkestreren van cyberaanvallen gericht op kritieke infrastructuur in het land te midden van de aanhoudende oorlog met Hamas sinds oktober 2023.
De aanvallen, waarbij gebruik wordt gemaakt van bekende beveiligingslekken (bijvoorbeeld CVE-2018-13379) om gevoelige informatie te verkrijgen en destructieve malware in te zetten, zijn gekoppeld aan een aanvalsgroep genaamd Plaid Rain (voorheen Polonium).
De ontwikkeling volgt ook op de publicatie van een nieuw advies van CISA waarin beveiligingsmaatregelen worden geschetst voor instellingen in de gezondheidszorg en kritieke infrastructuur om hun netwerken te versterken tegen mogelijke kwaadwillige activiteiten en de kans op domeincompromis te verkleinen –
- Dwing sterke wachtwoorden en phishing-bestendige MFA af
- Zorg ervoor dat op elk systeem alleen poorten, protocollen en services met gevalideerde zakelijke behoeften draaien
- Configureer serviceaccounts met alleen de machtigingen die nodig zijn voor de services die ze bedienen
- Wijzig alle standaardwachtwoorden voor applicaties, besturingssystemen, routers, firewalls, draadloze toegangspunten en andere systemen
- Stop met het hergebruiken of delen van beheerdersreferenties tussen gebruikers-/beheerdersaccounts
- Zorg voor consistent patchbeheer
- Implementeer netwerksegregatiecontroles
- Evalueer het gebruik van niet-ondersteunde hardware en software en stop waar mogelijk
- Versleutel persoonlijk identificeerbare informatie (PII) en andere gevoelige gegevens
In verband hiermee hebben de Amerikaanse National Security Agency (NSA), Office of the Director of National Intelligence (ODNI) en CISA een lijst gepubliceerd met aanbevolen praktijken die organisaties kunnen toepassen om de softwaretoeleveringsketen te versterken en de veiligheid van hun software te verbeteren. hun open-source softwarebeheerprocessen.
“Organisaties die geen consistente en ‘secure-by-design’-beheerpraktijk volgen voor de open source-software die zij gebruiken, lopen een grotere kans kwetsbaar te worden voor bekende exploits in open source-pakketten en ondervinden meer moeilijkheden bij het reageren op een incident”, aldus Aeva Black. , open-sourcesoftwarebeveiligingsleider bij CISA.
