L’Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) dels Estats Units insta els fabricants a desfer-se del tot de les contrasenyes predeterminades dels sistemes exposats a Internet, tot citant riscos greus que podrien ser explotats per actors maliciosos per aconseguir accés inicial a les organitzacions i moure-s’hi lateralment.

En una alerta publicada la setmana passada, l’agència va acusar els actors d’amenaça iranians, afiliats al Cos de la Guàrdia Revolucionària Islàmica (IRGC), d’explotar dispositius tecnològics operatius amb contrasenyes predeterminades per accedir a sistemes crítics d’infraestructura als Estats Units.

Les contrasenyes predeterminades fan referència a configuracions de programari predeterminades de fàbrica per a sistemes, dispositius i aparells integrats que normalment es documenten públicament i són idèntiques entre tots els sistemes de la línia de productes d’un proveïdor.

A conseqüència d’això, els actors de les amenaces podrien fer escaneigs per trobar punts finals exposats a Internet mitjançant eines com ara Shodan, i intentar violar-los mitjançant contrasenyes predeterminades, i així obtenir sovint privilegis d’arrel o d’administrador per dur a terme accions posteriors a l’explotació segons el tipus de sistema.

«Els aparells que venen preestablerts amb una combinació de nom d’usuari i contrasenya suposen una amenaça greu per a les organitzacions que no la modifiquen després de la instal·lació, atès que són objectius fàcils per a un adversari», assenyala MITRE.

A principis d’aquest mes, CISAva revelar que els ciberactors afiliats a l’IRGC, que utilitzen el personatge Cyber Av3ngers, ataquen i comprometen activament els controladors lògics programables (PLC, per les seves sigles en anglès) de la sèrie Unitronics Vision de fabricació israeliana, que s’exposen públicament a Internet mitjançant l’ús de contrasenyes predeterminades (“1111“).

«En aquests atacs, la contrasenya predeterminada era molt coneguda perquè es va donar a conèixer a fòrums oberts on se sap que els actors d’amenaces exploten la intel·ligència per violar els sistemes dels Estats Units», va afegir l’agència.

Com a mesures de mitigació, s’insta els fabricants a seguir els principis de disseny segur i proporcionar contrasenyes de configuració úniques amb el producte, o bé desactivar aquestes contrasenyes després d’un període de temps preestablert i exigir als usuaris que  habilitin mètodes d’autenticació de múltiples factors resistents a la pesca (MFA).

L’agència també va aconsellar als venedors que facin proves de camp per determinar com fan servir els seus clients els productes als seus entorns i si aquest fet implica l’ús de mecanismes insegurs.

«L’anàlisi d’aquestes proves de camp ajudarà a superar la bretxa entre les expectatives dels desenvolupadors i l’ús real del producte per part dels clients», va assenyalar CISA a les seves orientacions.

«També ajudarà a identificar maneres de fer el producte per tal que els clients siguin més propensos a utilitzar-lo de manera segura; els fabricants haurien d’assegurar-se que el camí  més fàcil sigui el camí segur.»

La divulgació arriba quan la Direcció Cibernètica Nacional d’Israel (INCD) va atribuir  a un actor d’amenaça libanès amb connexions amb el Ministeri d’Intel·ligència iranià el fet d’orquestrar atacs cibernètics adreçats a infraestructures crítiques del país mentre  s’enfronten a Hamàs en una guerra  des de l’octubre de 2023.

Els atacs, que impliquen l’explotació de fallades de seguretat conegudes (per exemple, la CVE-2018-13379) per obtenir informació delicada i desplegar programari maliciós destructiu, s’han vinculat a un grup d’atac anomenat Plaid Rain (abans Polonium).

El desenvolupament també inclou la comunicació d’un nou avís de CISA que descriu contramesures de seguretat per a entitats sanitàries i d’infraestructura crítica per reforçar les seves xarxes contra possibles activitats malicioses i reduir la probabilitat de comprometre el domini:

• Apliqueu contrasenyes fortes i MFA resistents a la pesca.
• Assegureu-vos que només s’executen a cada sistema els ports, protocols i serveis amb necessitats comercials validades.
• Configureu comptes de servei només amb els permisos necessaris per als serveis que operen.
• Canvieu totes les contrasenyes predeterminades per a aplicacions, sistemes operatius, encaminadors, tallafocs, punts d’accés sense fil i altres sistemes.
• Deixeu de reutilitzar o compartir credencials administratives entre comptes d’usuari/administrador.
• Exigiu una gestió coherent de pedaços.
• Implementeu controls de segregació de la xarxa.
• Avalueu l’ús de maquinari i programari que ja no són compatibles i deixeu de fer-los servir quan sigui possible.
• Xifreu la informació d’identificació personal (PII, en les seves sigles en anglès) i altres dades delicades.

En una nota relacionada, l’Agència de Seguretat Nacional (NSA) dels Estats Units, l’Oficina del Director d’Intel·ligència Nacional (ODNI) i la CISA van publicar una llista de pràctiques recomanades que les organitzacions poden adoptar per enfortir la cadena de subministrament de programari i millorar la seguretat dels seus processos de gestió de programari de codi obert.

«Les organitzacions que no segueixen una pràctica de gestió coherent i segura, segons el disseny del programari de codi obert que utilitzen, tenen més probabilitats de ser vulnerables a les explotacions conegudes en paquets de codi obert i de trobar més dificultats a l’hora de reaccionar davant un incident». va afirmar Aeva Black, responsable de seguretat de programari de codi obert a CISA.