ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ısrarla kötü niyetli aktörlerin kuruluşlara ilk erişim sağlamak ve kuruluşlar içinde yanal olarak hareket etmek için kullanılabilecek ciddi riskleri öne sürerek, üreticilerin internete açık sistemlerdeki varsayılan şifrelerden tamamen kurtulmasını talep ediyoruz.
Geçtiğimiz hafta yayınlanan bir uyarıda kurum, İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı İranlı tehdit aktörlerinin, ABD’deki kritik altyapı sistemlerine erişim sağlamak için varsayılan şifreli operasyonel teknoloji cihazlarından yararlandıkları yönünde çağrıda bulundu.
Varsayılan şifreler Genellikle kamuya açık olarak belgelenen ve bir satıcının ürün serisindeki tüm sistemler arasında aynı olan gömülü sistemler, cihazlar ve cihazlar için fabrika varsayılan yazılım yapılandırmalarına bakın.
Sonuç olarak, tehdit aktörleri Shodan gibi araçları kullanarak internete açık uç noktaları tarayabilir ve varsayılan şifreler aracılığıyla bunları ihlal etmeye çalışabilir, genellikle kök veya yönetici ayrıcalıkları elde edebilir. sömürü sonrası eylemleri gerçekleştirin sistemin türüne göre değişir.
MITRE, “Önceden belirlenmiş bir kullanıcı adı ve şifre kombinasyonuyla gelen cihazlar, kurulumdan sonra bunu değiştirmeyen kuruluşlar için ciddi bir tehdit oluşturuyor çünkü bunlar bir düşman için kolay hedefler.” notlar.
KULLANICIDAN YÖNETİCİYE: Bilgisayar Korsanlarının Tam Kontrolü Nasıl Kazandığını Öğrenin
Bilgisayar korsanlarının yönetici olmak için kullandıkları gizli taktikleri, çok geç olmadan bunu nasıl tespit edip engelleyeceğinizi keşfedin. Web seminerimize bugün kaydolun.
Bu ayın başlarında CISA, Cyber Av3ngers kişiliğini kullanan IRGC’ye bağlı siber aktörlerin, varsayılan şifrelerin kullanımı yoluyla internete kamuya açık olan İsrail yapımı Unitronics Vision Serisi programlanabilir mantık denetleyicilerini (PLC’ler) aktif olarak hedeflediğini ve tehlikeye attığını ortaya çıkardı (“1111“).
Ajans, “Bu saldırılarda, varsayılan şifre yaygın olarak biliniyordu ve tehdit aktörlerinin ABD sistemlerini ihlal etmek için istihbarat topladığı bilinen açık forumlarda duyuruldu.” diye ekledi.
Azaltıcı önlemler olarak üreticilerden aşağıdakilere uymaları isteniyor: tasarım ilkelerine göre güvenli ve ürünle birlikte benzersiz kurulum parolaları sağlayın veya alternatif olarak önceden belirlenmiş bir süre sonunda bu tür parolaları devre dışı bırakın ve kullanıcıların kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı etkinleştirmesini zorunlu kılın (MFA) yöntemler.
Ajans ayrıca satıcılara, müşterilerinin ürünleri kendi ortamlarında nasıl dağıttıklarını ve herhangi bir güvenli olmayan mekanizmanın kullanımına dahil olup olmadıklarını belirlemek için saha testleri yapmalarını tavsiye etti.
CISA, kılavuzunda “Bu saha testlerinin analizi, geliştirici beklentileri ile müşterinin ürünün gerçek kullanımı arasındaki boşluğu doldurmaya yardımcı olacaktır” dedi.
“Ayrıca, müşterilerin ürünü güvenli bir şekilde kullanma olasılığının yüksek olması için ürünü oluşturmanın yollarını belirlemeye de yardımcı olacak; üreticiler en kolay yolun güvenli olan olduğundan emin olmalıdır.”
Açıklama, İsrail Ulusal Siber Müdürlüğü’nün (INCD) atfedilen Ülkedeki kritik altyapıyı hedef alan siber saldırıları düzenlemek için İran İstihbarat Bakanlığı ile bağlantısı olan Lübnanlı bir tehdit aktörü. Hamas’la devam eden savaş Ekim 2023’ten beri.
Bilinen güvenlik kusurlarının (ör. CVE-2018-13379) hassas bilgiler elde etmek ve yıkıcı kötü amaçlı yazılımları dağıtmak için Plaid Rain (eski adıyla Polonium) adlı bir saldırı grubuna bağlandı.
Bu gelişme aynı zamanda bir sürümün yayınlanmasını da takip ediyor. yeni danışma CISA’dan, sağlık hizmetleri ve kritik altyapı kuruluşlarının ağlarını potansiyel kötü niyetli faaliyetlere karşı güçlendirmek ve alan adı ihlali olasılığını azaltmak için alınacak güvenlik önlemlerini özetleyen –
- Güçlü şifreler ve kimlik avına karşı dayanıklı MFA kullanın
- Her sistemde yalnızca doğrulanmış iş gereksinimlerine sahip bağlantı noktalarının, protokollerin ve hizmetlerin çalıştığından emin olun
- Hizmet hesaplarını yalnızca işlettikleri hizmetler için gerekli izinlerle yapılandırın
- Uygulamalar, işletim sistemleri, yönlendiriciler, güvenlik duvarları, kablosuz erişim noktaları ve diğer sistemler için tüm varsayılan şifreleri değiştirin
- Yönetici kimlik bilgilerinin kullanıcı/yönetici hesapları arasında yeniden kullanılmasına veya paylaşılmasına son verilmesi
- Tutarlı yama yönetimini zorunlu kılın
- Ağ ayırma kontrollerini uygulayın
- Desteklenmeyen donanım ve yazılım kullanımını değerlendirin ve mümkünse kullanımdan kaldırın
- Kişisel olarak tanımlanabilir bilgileri (PII) ve diğer hassas verileri şifreleyin
İlgili bir notta, ABD Ulusal Güvenlik Ajansı (NSA), Ulusal İstihbarat Direktörü Ofisi (ODNI) ve CISA, kuruluşların yazılım tedarik zincirini güçlendirmek ve güvenliklerini artırmak için benimseyebilecekleri önerilen uygulamaların bir listesini yayınladı. açık kaynaklı yazılım yönetimi süreçleri.
“Kullandıkları açık kaynaklı yazılım için tutarlı ve tasarım gereği güvenli bir yönetim uygulamasını takip etmeyen kuruluşların, açık kaynak paketlerindeki bilinen istismarlara karşı savunmasız kalma ve bir olaya tepki verirken daha fazla zorlukla karşılaşma olasılıkları daha yüksektir.” söz konusu Aeva Black, CISA’da açık kaynaklı yazılım güvenliği lideri.
