L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) est exhortant les fabricants à se débarrasser complètement des mots de passe par défaut sur les systèmes exposés à Internet, invoquant de graves risques qui pourraient être exploités par des acteurs malveillants pour obtenir un accès initial et se déplacer latéralement au sein des organisations.
Dans une alerte publiée la semaine dernière, l’agence a dénoncé les acteurs iraniens affiliés au Corps des Gardiens de la révolution islamique (CGRI) pour avoir exploité des dispositifs technologiques opérationnels dotés de mots de passe par défaut pour accéder aux systèmes d’infrastructures critiques aux États-Unis.
Mots de passe par défaut font référence aux configurations logicielles par défaut d’usine pour les systèmes, appareils et appareils intégrés qui sont généralement documentés publiquement et identiques entre tous les systèmes de la gamme de produits d’un fournisseur.
En conséquence, les acteurs malveillants pourraient rechercher les points finaux exposés à Internet à l’aide d’outils tels que Shodan et tenter de les pirater à l’aide de mots de passe par défaut, obtenant souvent des privilèges root ou administratifs. effectuer des actions post-exploitation selon le type de système.
« Les appareils prédéfinis avec une combinaison de nom d’utilisateur et de mot de passe constituent une menace sérieuse pour les organisations qui ne le modifient pas après l’installation, car ils constituent des cibles faciles pour un adversaire », a déclaré MITRE. Remarques.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Plus tôt ce mois-ci, la CISA a révélé que des cyber-acteurs affiliés au CGRI utilisant le personnage Cyber Av3ngers ciblent et compromettent activement les contrôleurs logiques programmables (PLC) Unitronics Vision Series de fabrication israélienne qui sont publiquement exposés à Internet via l’utilisation de mots de passe par défaut (« 1111« ).
« Dans ces attaques, le mot de passe par défaut était largement connu et rendu public sur des forums ouverts où les acteurs malveillants sont connus pour exploiter des renseignements afin de les utiliser pour pirater les systèmes américains », a ajouté l’agence.
Comme mesures d’atténuation, les fabricants sont invités à suivre principes de sécurité dès la conception et fournissez des mots de passe de configuration uniques avec le produit, ou désactivez ces mots de passe après une période de temps prédéfinie et demandez aux utilisateurs d’activer l’authentification multifacteur résistante au phishing (MFA) méthodes.
L’agence a en outre conseillé aux fournisseurs d’effectuer des tests sur le terrain pour déterminer comment leurs clients déploient les produits dans leurs environnements et s’ils impliquent l’utilisation de mécanismes dangereux.
« L’analyse de ces tests sur le terrain contribuera à combler l’écart entre les attentes des développeurs et l’utilisation réelle du produit par les clients », a noté CISA dans ses directives.
« Cela aidera également à identifier les moyens de créer le produit afin que les clients soient plus susceptibles de l’utiliser en toute sécurité. Les fabricants doivent s’assurer que la voie la plus simple est la plus sécurisée. »
La divulgation intervient alors que la Direction nationale israélienne de la cybersécurité (INCD) attribué un acteur menaçant libanais ayant des liens avec le ministère iranien du renseignement pour avoir orchestré des cyberattaques ciblant les infrastructures critiques du pays au milieu de son guerre en cours avec le Hamas depuis octobre 2023.
Les attaques, qui impliquent l’exploitation de failles de sécurité connues (par exemple, CVE-2018-13379) pour obtenir des informations sensibles et déployer des logiciels malveillants destructeurs, ont été liés à un groupe d’attaque nommé Plaid Rain (anciennement Polonium).
Le développement fait également suite à la sortie d’un nouvel avis de CISA qui décrit les contre-mesures de sécurité pour les entités de soins de santé et d’infrastructures critiques afin de renforcer leurs réseaux contre les activités malveillantes potentielles et de réduire la probabilité de compromission de domaine –
- Appliquez des mots de passe forts et une MFA résistante au phishing
- Assurez-vous que seuls les ports, protocoles et services ayant des besoins métier validés sont exécutés sur chaque système.
- Configurer les comptes de service avec uniquement les autorisations nécessaires pour les services qu’ils exploitent
- Modifiez tous les mots de passe par défaut des applications, des systèmes d’exploitation, des routeurs, des pare-feu, des points d’accès sans fil et d’autres systèmes.
- Interrompre la réutilisation ou le partage des informations d’identification administratives entre les comptes utilisateur/administrateurs
- Exiger une gestion cohérente des correctifs
- Mettre en œuvre des contrôles de ségrégation du réseau
- Évaluer l’utilisation de matériel et de logiciels non pris en charge et arrêter si possible
- Chiffrer les informations personnelles identifiables (PII) et autres données sensibles
Dans le même ordre d’idées, la National Security Agency (NSA) des États-Unis, le Bureau du directeur du renseignement national (ODNI) et la CISA ont publié une liste de pratiques recommandées que les organisations peuvent adopter afin de renforcer la chaîne d’approvisionnement en logiciels et d’améliorer la sécurité des logiciels. leurs processus de gestion de logiciels open source.
« Les organisations qui ne suivent pas une pratique de gestion cohérente et sécurisée dès la conception pour les logiciels open source qu’elles utilisent sont plus susceptibles de devenir vulnérables aux exploits connus dans les packages open source et rencontrent plus de difficultés lorsqu’elles réagissent à un incident. » dit Aeva Black, responsable de la sécurité des logiciels open source chez CISA.