La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) es instando Los fabricantes se deshacen por completo de las contraseñas predeterminadas en los sistemas expuestos a Internet, citando graves riesgos que podrían ser aprovechados por actores maliciosos para obtener acceso inicial y moverse lateralmente dentro de las organizaciones.
En una alerta publicada la semana pasada, la agencia llamó a los actores de amenazas iraníes afiliados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) por explotar dispositivos de tecnología operativa con contraseñas predeterminadas para obtener acceso a sistemas de infraestructura críticos en los EE. UU.
Contraseñas predeterminadas se refieren a configuraciones de software predeterminadas de fábrica para sistemas, dispositivos y dispositivos integrados que generalmente están documentados públicamente y son idénticos entre todos los sistemas dentro de la línea de productos de un proveedor.
Como resultado, los actores de amenazas podrían buscar puntos finales expuestos a Internet usando herramientas como Shodan e intentar violarlos a través de contraseñas predeterminadas, a menudo obteniendo privilegios administrativos o de raíz para acceder a ellos. realizar acciones post-explotación dependiendo del tipo de sistema.
«Los dispositivos que vienen preestablecidos con una combinación de nombre de usuario y contraseña representan una seria amenaza para las organizaciones que no la cambian después de la instalación, ya que son blancos fáciles para un adversario», MITRE notas.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
A principios de este mes, CISA reveló que los ciberactores afiliados al IRGC que utilizan la personalidad Cyber Av3ngers están atacando y comprometiendo activamente los controladores lógicos programables (PLC) Unitronics Vision Series de fabricación israelí que están expuestos públicamente a Internet mediante el uso de contraseñas predeterminadas («1111«).
«En estos ataques, la contraseña predeterminada era ampliamente conocida y publicitada en foros abiertos donde se sabe que los actores de amenazas extraen inteligencia para usarla en la violación de sistemas estadounidenses», agregó la agencia.
Como medidas de mitigación, se insta a los fabricantes a seguir seguro por principios de diseño y proporcionar contraseñas de configuración únicas con el producto o, alternativamente, desactivar dichas contraseñas después de un período de tiempo preestablecido y exigir a los usuarios que habiliten la autenticación multifactor resistente al phishing (Ministerio de Asuntos Exteriores) métodos.
La agencia recomendó además a los proveedores que realicen pruebas de campo para determinar cómo sus clientes están implementando los productos dentro de sus entornos y si implican el uso de algún mecanismo inseguro.
«El análisis de estas pruebas de campo ayudará a cerrar la brecha entre las expectativas de los desarrolladores y el uso real del producto por parte del cliente», señaló CISA en su guía.
«También ayudará a identificar formas de desarrollar el producto para que sea más probable que los clientes lo utilicen de forma segura; los fabricantes deben asegurarse de que la ruta más fácil sea la segura».
La divulgación se produce cuando la Dirección Nacional Cibernética de Israel (RICD) atribuido un actor de amenazas libanés con conexiones con el Ministerio de Inteligencia iraní por orquestar ataques cibernéticos dirigidos a infraestructura crítica en el país en medio de su guerra en curso con Hamás desde octubre de 2023.
Los ataques, que implican la explotación de fallos de seguridad conocidos (por ejemplo, CVE-2018-13379) para obtener información confidencial y desplegar malware destructivo, han sido vinculados a un grupo de ataque llamado Plaid Rain (anteriormente Polonium).
El desarrollo también sigue al lanzamiento de un nuevo aviso de CISA que describe contramedidas de seguridad para que las entidades de infraestructura crítica y de atención médica fortalezcan sus redes contra posibles actividades maliciosas y reduzcan la probabilidad de que el dominio se vea comprometido.
- Aplique contraseñas seguras y MFA resistente al phishing
- Asegúrese de que en cada sistema solo se ejecuten puertos, protocolos y servicios con necesidades comerciales validadas.
- Configure cuentas de servicio con solo los permisos necesarios para los servicios que operan
- Cambie todas las contraseñas predeterminadas para aplicaciones, sistemas operativos, enrutadores, firewalls, puntos de acceso inalámbrico y otros sistemas.
- Dejar de reutilizar o compartir credenciales administrativas entre cuentas de usuario/administrativas
- Exigir una gestión coherente de parches
- Implementar controles de segregación de red
- Evaluar el uso de hardware y software no compatibles y suspenderlos cuando sea posible.
- Cifrar información de identificación personal (PII) y otros datos confidenciales
En una nota relacionada, la Agencia de Seguridad Nacional de EE. UU. (NSA), la Oficina del Director de Inteligencia Nacional (ODNI) y CISA publicaron una lista de prácticas recomendadas que las organizaciones pueden adoptar para fortalecer la cadena de suministro de software y mejorar la seguridad de sus procesos de gestión de software de código abierto.
«Las organizaciones que no siguen una práctica de gestión consistente y segura por diseño para el software de código abierto que utilizan tienen más probabilidades de volverse vulnerables a exploits conocidos en paquetes de código abierto y encontrar más dificultades al reaccionar ante un incidente». dicho Aeva Black, líder de seguridad de software de código abierto en CISA.