Σήμερα, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προέτρεψε τους κατασκευαστές τεχνολογίας να σταματήσουν να παρέχουν
λογισμικό
και
συσκευές
με προεπιλεγμένους κωδικούς πρόσβασης.
Μόλις ανακαλυφθούν, οι φορείς απειλών μπορούν να χρησιμοποιήσουν τέτοια προεπιλεγμένα διαπιστευτήρια σε μια κερκόπορτα για να παραβιάσουν ευάλωτες συσκευές που εκτίθενται στο διαδίκτυο. Οι προεπιλεγμένοι κωδικοί πρόσβασης χρησιμοποιούνται συνήθως για τον εξορθολογισμό της διαδικασίας κατασκευής ή για να βοηθήσουν τους διαχειριστές συστήματος να αναπτύξουν ευκολότερα μεγάλο αριθμό συσκευών σε ένα εταιρικό περιβάλλον.
Ωστόσο, η αποτυχία αλλαγής αυτών των προεπιλεγμένων ρυθμίσεων δημιουργεί μια αδυναμία ασφάλειας που μπορούν να εκμεταλλευτούν οι εισβολείς για να παρακάμψουν τα μέτρα ελέγχου ταυτότητας, θέτοντας δυνη
τι
κά σε κίνδυνο την ασφάλεια ολόκληρου του δικτύου του οργανισμού τους.
“Αυτή η ειδοποίηση SbD προτρέπει τους κατασκευαστές τεχνολογίας να εξαλείψουν προληπτικά τον κίνδυνο εκμετάλλευσης του προεπιλεγμένου κωδικού πρόσβασης”, CISA
είπε
αναλαμβάνοντας την «κυριότητα των αποτελεσμάτων ασφάλειας των πελατών» και χτίζοντας «οργανωτική δομή και ηγεσία για την επίτευξη αυτών των στόχων».
«Εφαρμόζοντας αυτές τις δύο αρχές στις διαδικασίες σχεδιασμού, ανάπτυξης και παράδοσης, οι κατασκευαστές λογισμικού θα αποτρέψουν την εκμετάλλευση των στατικών προεπιλεγμένων κωδικών πρόσβασης στα συστήματα των πελατών τους».
“Τα χρόνια αποδεικτικών στοιχείων έχουν δείξει ότι το να βασίζεσαι σε χιλιάδες πελάτες για να αλλάξουν τους κωδικούς πρόσβασής τους είναι ανεπαρκές και μόνο η συντονισμένη δράση από κατασκευαστές τεχνολογίας θα αντιμετωπίσει κατάλληλα τους σοβαρούς κινδύνους που αντιμετωπίζουν οι οργανισμοί υποδομής ζωτικής σημασίας”, CISA
προστέθηκε
.
Εναλλακτικές λύσεις σε προεπιλεγμένους κωδικούς πρόσβασης
Η αμερικανική υπηρεσία κυβερνοασφάλειας συμβούλεψε τους κατασκευαστές να παρέχουν στους πελάτες τους μοναδικούς κωδικούς πρόσβασης ρύθμισης προσαρμοσμένους σε κάθε παρουσία προϊόντος ως εναλλακτική λύση στη χρήση ενός μοναδικού προεπιλεγμένου κωδικού πρόσβασης σε όλες τις
σειρές
προϊόντων και τις εκδόσεις.
Επιπλέον, μπορούν να εφαρμόσουν κωδικούς πρόσβασης ρύθμισης περιορισμένου χρόνου που έχουν σχεδιαστεί για να απενεργοποιούνται μόλις ολοκληρωθεί η φάση εγκατάστασης και να ζητούν από τους διαχειριστές να ενεργοποιήσουν πιο ασφαλείς μεθόδους ελέγχου ταυτότητας, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) που είναι ανθεκτικός στο phishing.
Μια άλλη δυνατότητα περιλαμβάνει την υποχρεωτική φυσική πρόσβαση για την αρχική ρύθμιση και τον καθορισμό διακριτών διαπιστευτηρίων για κάθε περίπτωση.
Πριν από δέκα χρόνια εξέδωσε η CISA
άλλη συμβουλευτική ειδοποίηση
επισημαίνοντας τα τρωτά σημεία ασφαλείας που σχετίζονται με τους προεπιλεγμένους κωδικούς πρόσβασης. Η συμβουλευτική υπογράμμισε συγκεκριμένα τους αυξημένους παράγοντες κινδύνου για υποδομές ζωτικής σημασίας και ενσωματωμένα συστήματα.
“Οι εισβολείς μπορούν εύκολα να εντοπίσουν και να αποκτήσουν πρόσβαση σε συστήματα συνδεδεμένα στο Διαδίκτυο που χρησιμοποιούν κοινόχρηστους προεπιλεγμένους κωδικούς πρόσβασης. Είναι επιτακτική ανάγκη να αλλάξουν οι προεπιλεγμένοι κωδικοί πρόσβασης κατασκευαστή και να περιοριστεί η πρόσβαση στο δίκτυο σε κρίσιμα και σημαντικά συστήματα”, ανέφερε η υπηρεσία κυβερνοασφάλειας.
“Οι προεπιλεγμένοι κωδικοί πρόσβασης προορίζονται για εργασίες αρχικής δοκιμής, εγκατάστασης και διαμόρφωσης και πολλοί προμηθευτές συνιστούν την αλλαγή του προεπιλεγμένου κωδικού πρόσβασης πριν από την ανάπτυξη του συστήματος σε περιβάλλον παραγωγής.”
Ιρανοί χάκερ χρησιμοποίησαν πρόσφατα αυτήν την προσέγγιση, χρησιμοποιώντας έναν προεπιλεγμένο κωδικό πρόσβασης «1111» για προγραμματιζόμενους λογικούς ελεγκτές (PLC) της Unitronics που εκτίθενται στο διαδίκτυο για να παραβιάσουν τις ΗΠΑ. συστήματα υποδομής ζωτικής σημασίας, συμπεριλαμβανομένης μιας εγκατάστασης νερού στις ΗΠΑ.
VIA:
bleepingcomputer.com
