Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προέτρεψε τους κατασκευαστές να τερματίσουν τη χρήση προεπιλεγμένων κωδικών πρόσβασης σε συστήματα που «εκτίθενται» στο Διαδίκτυο.
Μέσω πρόσφατης ειδοποίησης, η CISA αναφέρθηκε στην εκμετάλλευση συσκευών από παράγοντες που συνδέονται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης του Ιράν, οι οποίοι χρησιμοποιούν προεπιλεγμένους κωδικούς πρόσβασης για να αποκτήσουν πρόσβαση σε υποδομή ζωτικής σημασίας των ΗΠΑ.
Οι παράγοντας που συνδέονται με το Ιράν και που χρησιμοποιούν την περσόνα «CyberAv3ngers» στοχεύουν ισραηλινά PLC που εκτίθενται στο διαδίκτυο, μέσω προεπιλεγμένων κωδικών πρόσβασης. «Τα PLC ενδέχεται να μετονομάζονται και να εμφανίζονται με διαφορετικούς κατασκευαστές και ονόματα», όπως έγραψε η CISA.
Οι προεπιλεγμένοι κωδικοί πρόσβασης καταγράφονται δημόσια και είναι πανομοιότυποι σε όλη τη σειρά προϊόντων ενός προμηθευτή, γεγονός που τους καθιστά επιρρεπείς σε εκμετάλλευση. Οι επιτιθέμενοι -οπλισμένοι με εργαλεία όπως το Shodan– μπορούν να σαρώσουν για τελικά σημεία που εκτίθενται στο διαδίκτυο και να τα παραβιάσουν μέσω προεπιλεγμένων κωδικών πρόσβασης, αποκτώντας, συχνά, δικαιώματα διαχειριστή.
Για την αντιμετώπιση αυτών των τρωτών σημείων, η CISA συνιστά στους κατασκευαστές να παρέχουν μοναδικούς κωδικούς πρόσβασης ή να απενεργοποιούν τους προεπιλεγμένους κωδικούς πρόσβασης μετά από μια καθορισμένη χρονική περίοδο. Επιπλέον, οι χρήστες θα πρέπει να ενεργοποιήσουν μεθόδους ελέγχου ταυτότητας πολλαπλών παραγόντων που να είναι ανθεκτικές στο phishing.
Συνιστάται, επίσης, στους κατασκευαστές να διεξάγουν δοκιμές πεδίου για να κατανοήσουν τον τρόπο με τον οποίο οι πελάτες αναπτύσσουν τα προϊόντα τους και να εντοπίσουν τυχόν μη ασφαλείς μηχανισμούς. Ο στόχος είναι να γεφυρωθεί το χάσμα μεταξύ των προσδοκιών των developers και της πραγματικής χρήσης που κάνουν οι πελάτες.
Την περασμένη εβδομάδα, η CISA –μαζί με το FBI, την NSA, την Πολωνική Στρατιωτική Υπηρεσία Αντικατασκοπείας, το CERT Polska και το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) – εξέδωσε μια ξεχωριστή κοινή ειδοποίηση σε σχέση με τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών, με παράγοντες που εκμεταλλεύονται το CVE-2023-42793 «σε μεγάλη κλίμακα», στοχεύοντας διακομιστές από τον Σεπτέμβριο του 2023.
Αυτή η συμβουλή ακολουθεί μια προειδοποίηση από το Ηνωμένο Βασίλειο που στάλθηκε νωρίτερα αυτόν τον μήνα, που κατηγορεί ευθέως τη Ρωσική Υπηρεσία Ασφαλείας, την FSB, ότι ενορχήστρωσε μια συνεχή εκστρατεία διαδικτυακής «πειρατείας» με στόχο πολιτικούς και δημόσια πρόσωπα. Ενόψει των δυτικών εκλογών του επόμενου έτους, είναι πιθανό οι κυβερνοεπιθέσεις να συνεχίσουν να αυξάνονται.
Η NSA, το Office of the Director of National Intelligence (ODNI) και η CISA έχουν δημοσιεύσει από κοινού συνιστώμενες πρακτικές για τη βελτίωση της ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού και των διαδικασιών διαχείρισης λογισμικού ανοιχτού κώδικα.
«Οι οργανισμοί που δεν ακολουθούν μια συνεπή και secure-by-design για το λογισμικό ανοιχτού κώδικα που χρησιμοποιούν είναι πιο πιθανό να γίνουν ευάλωτοι σε γνωστά exploits σε πακέτα ανοιχτού κώδικα και να αντιμετωπίσουν μεγαλύτερη δυσκολία όταν αντιδρούν σε ένα περιστατικό», δήλωσε η Aeva Black, Υπεύθυνη Ασφάλειας λογισμικού ανοιχτού κώδικα CISA.
