CISA pede que os fabricantes eliminem senhas padrão

20/12/2023 mindsecblog Notícias 5

CISA pede que os fabricantes eliminem senhas padrão para impedir ameaças cibernéticas.

A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA está exortando os fabricantes a se livrarem completamente das senhas padrão em sistemas expostos à Internet, citando riscos graves que podem ser explorados por atores mal-intencionados para obter acesso inicial e mover-se lateralmente dentro das organizações.

Num alerta publicado na semana passada, a agência chamou a atenção de agentes de ameaças iranianos afiliados ao Corpo da Guarda Revolucionária Islâmica (IRGC) por explorarem dispositivos de tecnologia operacional com senhas padrão para obter acesso a sistemas de infraestrutura crítica nos EUA.

Senhas padrão referem-se às configurações de software padrão de fábrica para sistemas, dispositivos e dispositivos incorporados que normalmente são documentados publicamente e idênticos entre todos os sistemas da linha de produtos de um fornecedor.

Como resultado, os agentes de ameaças podem procurar endpoints expostos à Internet usando ferramentas como o Shodan e tentar violá-los por meio de senhas padrão, muitas vezes obtendo privilégios de root ou administrativos para realizar pós- ações de exploração dependendo do tipo de sistema.

“Os dispositivos que vêm predefinidos com uma combinação de nome de usuário e senha representam uma séria ameaça para as organizações que não a alteram após a instalação, pois são alvos fáceis para um adversário,” MITRE notas.

No início deste mês, a CISA revelou que ciberatores afiliados ao IRGC que usam a persona Cyber Av3ngers estão ativamente visando e comprometendo Controladores lógicos programáveis (CLPs) da Unitronics Vision, de fabricação israelense ,em série que são expostos publicamente à Internet por meio do uso de senhas padrão (“1111“).

“Nestes ataques, a senha padrão era amplamente conhecida e divulgada em fóruns abertos onde os agentes de ameaças são conhecidos por explorar inteligência para uso na violação de sistemas dos EUA”, disse ele. a agência acrescentou.

Como medidas de mitigação, os fabricantes são incentivados a seguir os princípios de segurança desde o design e a fornecer senhas de configuração exclusivas com o produto ou, como alternativa, desativar tais senhas após um período predefinido e exigem que os usuários habilitem métodos de autenticação multifator resistentes a phishing (MFA).

A agência aconselhou ainda os fornecedores a realizarem testes de campo para determinar como os seus clientes estão a implementar os produtos nos seus ambientes e se envolvem a utilização de quaisquer mecanismos inseguros.

“A análise desses testes de campo ajudará a preencher a lacuna entre as expectativas do desenvolvedor e o uso real do produto pelo cliente”, disse ele. CISA observou em sua orientação.

“Isso também ajudará a identificar maneiras de construir o produto para que os clientes tenham maior probabilidade de usá-lo com segurança – os fabricantes devem garantir que o caminho mais fácil seja o seguro.”

A divulgação ocorre no momento em que a Diretoria Cibernética Nacional de Israel (INCD) atribuiu a um agente de ameaça libanês com conexões com o Ministério de Inteligência iraniano a responsabilidade de orquestrar ataques cibernéticos contra infraestruturas críticas do país em meio à guerra em curso com o Hamas desde outubro de 2023.

Os ataques, que envolvem a exploração de falhas de segurança conhecidas (por exemplo, CVE-2018-13379) para obter informações confidenciais e implantar ataques destrutivos malware, foram vinculados a um grupo de ataque chamado Plaid Rain (anteriormente Polonium).

O desenvolvimento também segue o lançamento de um novo comunicado da CISA que descreve contramedidas de segurança para entidades de saúde e de infraestrutura crítica fortalecerem suas redes contra atividade maliciosa em potencial e reduzir a probabilidade de comprometimento do domínio:

Aplique senhas fortes e MFA resistente a phishing
Garanta que apenas portas, protocolos e serviços com necessidades comerciais validadas estejam em execução em cada sistema
Configure contas de serviço apenas com as permissões necessárias para os serviços que operam
Altere todas as senhas padrão de aplicativos, sistemas operacionais, roteadores, firewalls, pontos de acesso sem fio e outros sistemas
Descontinuar a reutilização ou o compartilhamento de credenciais administrativas entre contas de usuário/administrativas
Exija um gerenciamento consistente de patches
Implementar controles de segregação de rede
Avalie o uso de hardware e software não suportado e interrompa sempre que possível
Criptografe informações de identificação pessoal (PII) e outros dados confidenciais

Numa nota relacionada, a Agência de Segurança Nacional dos EUA (NSA), o Gabinete do Diretor de Inteligência Nacional (ODNI) e a CISA publicaram uma lista de práticas recomendadas que as organizações podem adotar para fortalecer a cadeia de fornecimento de software e melhorar a segurança de seus processos de gerenciamento de software de código aberto.

"As organizações que não seguem uma prática de gerenciamento consistente e segura desde o projeto para o software de código aberto que utilizam têm maior probabilidade de se tornarem vulneráveis a explorações conhecidas em pacotes de código aberto e encontrarem mais dificuldades ao reagir a um incidente", disse Aeva Black, líder de segurança de software de código aberto da CISA.

Fonte: The Hacker News