Агентство кибербезопасности и инфраструктурной безопасности США (CISA) призывает производителей полностью избавиться от паролей по умолчанию в системах, открытых для доступа в Интернет, ссылаясь на серьезные риски, которые могут быть использованы злоумышленниками для получения начального доступа к организациям и последующего перемещения внутри них.
В предупреждении, опубликованном на прошлой неделе, агентство обвинило иранских злоумышленников, связанных с Корпусом стражей исламской революции (КСИР), в использовании операционных технологических устройств с паролями по умолчанию для получения доступа к критически важным системам инфраструктуры в США.
Пароли по умолчанию относятся к заводским настройкам программного обеспечения по умолчанию для встроенных систем, устройств и приспособлений, которые обычно публично документированы и идентичны для всех систем в линейке продуктов поставщика.
В результате злоумышленники могут сканировать конечные точки, подключенные к Интернету, с помощью таких инструментов, как Shodan, и пытаться взломать их с помощью паролей по умолчанию, часто получая права root или администратора для выполнения действий после эксплуатации в зависимости от типа системы.
"Устройства, в которых предварительно установлена комбинация имени пользователя и пароля, представляют серьезную угрозу для организаций, которые не меняют ее после установки, поскольку они являются легкой мишенью для злоумышленника", - отмечает МИТРЕ.
Ранее в этом месяце CISA обнаружила, что киберпреступники, связанные с КСИР, используя хакеров persona Cyber Av3, активно нацеливаются на программируемые логические контроллеры (ПЛК) серии Unitronics Vision израильского производства и компрометируют их, которые общедоступны в Интернете благодаря использованию паролей по умолчанию ("1111").
"В ходе этих атак пароль по умолчанию был широко известен и публиковался на открытых форумах, где, как известно, злоумышленники добывают разведданные для использования при взломе систем США", - добавило агентство.
В качестве мер по смягчению последствий производителям настоятельно рекомендуется следовать принципам безопасности по дизайну и предоставлять уникальные установочные пароли вместе с продуктом или, в качестве альтернативы, отключать такие пароли по истечении заданного периода времени и требовать от пользователей включения методов многофакторной аутентификации, устойчивых к фишингу (MFA).
Агентство далее рекомендовало поставщикам провести полевые испытания, чтобы определить, как их клиенты развертывают продукты в своих средах и связаны ли они с использованием каких-либо небезопасных механизмов.
"Анализ этих полевых испытаний поможет преодолеть разрыв между ожиданиями разработчиков и фактическим использованием продукта потребителями", - отмечается в руководстве CISA.
"Это также поможет определить способы создания продукта, чтобы клиенты с наибольшей вероятностью могли безопасно им пользоваться — производителям следует позаботиться о том, чтобы самый простой путь был безопасным".
Раскрытие произошло после того, как Национальное киберуправление Израиля (INCD) приписало ливанскому агенту, связанному с Министерством разведки Ирана, организацию кибератак, направленных против критически важной инфраструктуры в стране на фоне продолжающейся войны с ХАМАСОМ с октября 2023 года.
Атаки, которые включают использование известных недостатков безопасности (например, CVE-2018-13379) для получения конфиденциальной информации и развертывания вредоносного ПО, были связаны с атакующей группой под названием Plaid Rain (ранее Polonium).
Разработка также последовала за выпуском новой рекомендации от CISA, в которой описываются меры безопасности для учреждений здравоохранения и критически важной инфраструктуры, направленные на защиту их сетей от потенциальной вредоносной активности и снижение вероятности компрометации домена -
"Организации, которые не придерживаются последовательной и безопасной практики управления используемым ими программным обеспечением с открытым исходным кодом, с большей вероятностью станут уязвимыми для известных эксплойтов в пакетах с открытым исходным кодом и столкнутся с большими трудностями при реагировании на инцидент", - сказала Эва Блэк, руководитель отдела безопасности программного обеспечения с открытым исходным кодом в CISA.
В предупреждении, опубликованном на прошлой неделе, агентство обвинило иранских злоумышленников, связанных с Корпусом стражей исламской революции (КСИР), в использовании операционных технологических устройств с паролями по умолчанию для получения доступа к критически важным системам инфраструктуры в США.
Пароли по умолчанию относятся к заводским настройкам программного обеспечения по умолчанию для встроенных систем, устройств и приспособлений, которые обычно публично документированы и идентичны для всех систем в линейке продуктов поставщика.
В результате злоумышленники могут сканировать конечные точки, подключенные к Интернету, с помощью таких инструментов, как Shodan, и пытаться взломать их с помощью паролей по умолчанию, часто получая права root или администратора для выполнения действий после эксплуатации в зависимости от типа системы.
"Устройства, в которых предварительно установлена комбинация имени пользователя и пароля, представляют серьезную угрозу для организаций, которые не меняют ее после установки, поскольку они являются легкой мишенью для злоумышленника", - отмечает МИТРЕ.
Ранее в этом месяце CISA обнаружила, что киберпреступники, связанные с КСИР, используя хакеров persona Cyber Av3, активно нацеливаются на программируемые логические контроллеры (ПЛК) серии Unitronics Vision израильского производства и компрометируют их, которые общедоступны в Интернете благодаря использованию паролей по умолчанию ("1111").
"В ходе этих атак пароль по умолчанию был широко известен и публиковался на открытых форумах, где, как известно, злоумышленники добывают разведданные для использования при взломе систем США", - добавило агентство.
В качестве мер по смягчению последствий производителям настоятельно рекомендуется следовать принципам безопасности по дизайну и предоставлять уникальные установочные пароли вместе с продуктом или, в качестве альтернативы, отключать такие пароли по истечении заданного периода времени и требовать от пользователей включения методов многофакторной аутентификации, устойчивых к фишингу (MFA).
Агентство далее рекомендовало поставщикам провести полевые испытания, чтобы определить, как их клиенты развертывают продукты в своих средах и связаны ли они с использованием каких-либо небезопасных механизмов.
"Анализ этих полевых испытаний поможет преодолеть разрыв между ожиданиями разработчиков и фактическим использованием продукта потребителями", - отмечается в руководстве CISA.
![Пароли по умолчанию Пароли по умолчанию](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgt105RD_8JOKegHsBQkBPGl5Ox3gZpz9MqefpMfQlmF7dZtY5EN-wSVO9E0-EHnVklPbIHTpiCXOJ66PMMJxtUIloD0VikadGO1XL4PDq89Pu8teraU-RyOy3S4vgVIAqnMbi3dBwm6_O_7NkGpq_31n_60DSkY2rtF2pAs2iItzwhVsEdxpUUxlS-PQDm/s728-rw-ft-e30/start.jpg)
"Это также поможет определить способы создания продукта, чтобы клиенты с наибольшей вероятностью могли безопасно им пользоваться — производителям следует позаботиться о том, чтобы самый простой путь был безопасным".
Раскрытие произошло после того, как Национальное киберуправление Израиля (INCD) приписало ливанскому агенту, связанному с Министерством разведки Ирана, организацию кибератак, направленных против критически важной инфраструктуры в стране на фоне продолжающейся войны с ХАМАСОМ с октября 2023 года.
Атаки, которые включают использование известных недостатков безопасности (например, CVE-2018-13379) для получения конфиденциальной информации и развертывания вредоносного ПО, были связаны с атакующей группой под названием Plaid Rain (ранее Polonium).
Разработка также последовала за выпуском новой рекомендации от CISA, в которой описываются меры безопасности для учреждений здравоохранения и критически важной инфраструктуры, направленные на защиту их сетей от потенциальной вредоносной активности и снижение вероятности компрометации домена -
- Применяйте надежные пароли и MFA, устойчивые к фишингу
- Убедитесь, что в каждой системе запущены только порты, протоколы и службы, соответствующие проверенным бизнес-потребностям
- Настраивайте учетные записи служб только с разрешениями, необходимыми для работы служб, которыми они управляют
- Измените все пароли по умолчанию для приложений, операционных систем, маршрутизаторов, брандмауэров, точек беспроводного доступа и других систем
- Прекратите повторное использование или совместное использование административных учетных данных между пользователями / учетными записями администраторов
- Обеспечить согласованное управление исправлениями
- Внедрить средства контроля сетевой сегрегации
- Оцените использование неподдерживаемого оборудования и программного обеспечения и прекратите, по возможности
- Шифруйте личную информацию (PII) и другие конфиденциальные данные
"Организации, которые не придерживаются последовательной и безопасной практики управления используемым ими программным обеспечением с открытым исходным кодом, с большей вероятностью станут уязвимыми для известных эксплойтов в пакетах с открытым исходным кодом и столкнутся с большими трудностями при реагировании на инцидент", - сказала Эва Блэк, руководитель отдела безопасности программного обеспечения с открытым исходным кодом в CISA.