servidores

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) insta a a los fabricantes a deshacerse por completo de las contraseñas predeterminadas en los sistemas expuestos a Internet, citando riesgos graves que podrían ser aprovechados por actores malintencionados para obtener acceso inicial y moverse lateralmente dentro de las organizaciones.

En una alerta publicada la semana pasada, la agencia llamó a los actores de amenazas iraníes afiliados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) por explotar dispositivos de tecnología operativa con contraseñas predeterminadas para obtener acceso a sistemas de infraestructura críticos en los EE. UU.

Las Contraseñas predeterminadas se refieren a configuraciones de software predeterminadas de fábrica para sistemas, dispositivos y dispositivos integrados que normalmente están documentados públicamente y son idénticos en todos los sistemas dentro de la línea de productos de un proveedor.

Como resultado, los actores de amenazas podrían buscar puntos finales expuestos a Internet usando herramientas como Shodan e intentar violarlos a través de contraseñas predeterminadas, a menudo obteniendo privilegios administrativos o de raíz para realizar operaciones posteriores. acciones de explotación dependiendo del tipo de sistema.

«Los dispositivos que vienen preestablecidos con una combinación de nombre de usuario y contraseña representan una seria amenaza para las organizaciones que no la cambian después de la instalación, ya que son blancos fáciles para un adversario», dijo. INGLETA notas.

A principios de este mes, CISA reveló que los ciberactores afiliados al CGRI que utilizan la personalidad Cyber ​​Av3ngers están atacando y comprometiendo activamente a Unitronics Vision, de fabricación israelí. Controladores lógicos programables (PLC) en serie que están expuestos públicamente a Internet mediante el uso de contraseñas predeterminadas («1111»).

«En estos ataques, la contraseña predeterminada era ampliamente conocida y publicitada en foros abiertos donde se sabe que los actores de amenazas extraen inteligencia para usarla en la vulneración de sistemas estadounidenses», afirmó. añadió la agencia.

Como medidas de mitigación, se insta a los fabricantes a seguir principios de diseño seguro y proporcionar contraseñas de configuración únicas con el producto o, alternativamente, desactivar dichas contraseñas. contraseñas después de un período de tiempo preestablecido y requieren que los usuarios habiliten métodos de autenticación multifactor resistentes al phishing (MFA).

La agencia recomendó además a los proveedores que realicen pruebas de campo para determinar cómo sus clientes están implementando los productos dentro de sus entornos y si implican el uso de algún mecanismo inseguro.

«El análisis de estas pruebas de campo ayudará a cerrar la brecha entre las expectativas de los desarrolladores y el uso real del producto por parte del cliente», afirmó. CISA señaló en su guía.

«También ayudará a identificar formas de desarrollar el producto para que los clientes tengan más probabilidades de utilizarlo de forma segura; los fabricantes deben asegurarse de que la ruta más fácil sea la segura».

La revelación se produce cuando la Dirección Nacional Cibernética de Israel (INCD) atribuyó a un actor de amenazas libanés con conexiones con el Ministerio de Inteligencia iraní por orquestar ciberataques dirigidos a infraestructuras críticas del país en medio de su guerra en curso con Hamás desde octubre de 2023.

Los ataques, que implican la explotación de fallas de seguridad conocidas (por ejemplo, CVE-2018-13379) para obtener información confidencial y desplegar ataques destructivos. malware, se han vinculado a un grupo de ataque llamado Plaid Rain (anteriormente Polonium).

El desarrollo también sigue al lanzamiento de un nuevo aviso de CISA que describe contramedidas de seguridad para que las entidades de atención médica y de infraestructura crítica fortalezcan sus redes contra posible actividad maliciosa y reducir la probabilidad de que el dominio se vea comprometido –

  • Aplique contraseñas seguras y MFA resistente al phishing
  • Asegúrese de que en cada sistema solo se ejecuten puertos, protocolos y servicios con necesidades comerciales validadas.
  • Configure cuentas de servicio con solo los permisos necesarios para los servicios que operan
  • Cambie todas las contraseñas predeterminadas para aplicaciones, sistemas operativos, enrutadores, firewalls, puntos de acceso inalámbrico y otros sistemas.
  • Dejar de reutilizar o compartir credenciales administrativas entre cuentas de usuario/administrativas
  • Exigir una gestión coherente de parches
  • Implementar controles de segregación de red
  • Evaluar el uso de hardware y software no compatibles y suspenderlos cuando sea posible.
  • Cifrar información de identificación personal (PII) y otros datos confidenciales

En una nota relacionada, la Agencia de Seguridad Nacional de EE. UU. (NSA), la Oficina del Director de Inteligencia Nacional (ODNI) y CISA publicaron una lista de prácticas recomendadas que las organizaciones pueden adoptar para fortalecer la cadena de suministro de software y mejorar la seguridad de sus procesos de gestión de software de código abierto.

«Las organizaciones que no siguen una práctica de gestión consistente y segura desde el diseño para el software de código abierto que utilizan tienen más probabilidades de volverse vulnerables a exploits conocidos en paquetes de código abierto y encontrar más dificultades al reaccionar. a un incidente», dijo. dijo Aeva Black, líder de seguridad de software de código abierto en CISA.

Fuente y redacción: thehackernews.com

Compartir