Bugün, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), teknoloji üreticilerini varsayılan şifrelerle yazılım ve cihazlar sağlamayı bırakmaya çağırdı.
Tehdit aktörleri keşfedildikten sonra, çevrimiçi olarak maruz kalan savunmasız cihazları ihlal etmek için bu tür varsayılan kimlik bilgilerini kullanabilir. Varsayılan şifreler, üretim sürecini kolaylaştırmak veya sistem yöneticilerinin bir kurumsal ortamda çok sayıda cihaz dağıtmak için yaygın olarak kullanılır.
Bununla birlikte, bu varsayılan ayarların değiştirilmemesi, saldırganların kimlik doğrulama önlemlerini atlatmak için yararlanabilecekleri ve kuruluşlarının tüm ağının güvenliğinden ödün verebilecekleri bir güvenlik zayıflığı yaratır.
"Bu SBD uyarısı, teknoloji üreticilerini varsayılan şifre sömürüsü riskini proaktif olarak ortadan kaldırmaya çağırıyor," dedi Cisa, "müşteri güvenliği sonuçlarının mülkiyeti" ve "bu hedeflere ulaşmak için organizasyonel yapı ve liderlik" oluşturarak.
"Bu iki prensibi tasarım, geliştirme ve teslimat süreçlerinde uygulayarak, yazılım üreticileri müşterilerinin sistemlerindeki statik varsayılan şifrelerin kullanılmasını önleyecektir."
Cisa, "Yıllarca süren kanıtlar, binlerce müşteriye şifrelerini değiştirmeye güvenmenin yetersiz olduğunu ve sadece teknoloji üreticilerinin uyumlu eylemlerinin kritik altyapı organizasyonlarının karşılaştığı ciddi riskleri ele alacağını gösterdi."
ABD Siber Güvenlik Ajansı, üreticilere, tüm ürün hatları ve sürümlerinde tekil bir varsayılan şifre kullanmaya alternatif olarak her ürün örneğine uyarlanmış benzersiz kurulum şifreleri sunmalarını tavsiye etti.
Ayrıca, kurulum aşaması sonuçlandıktan sonra devre dışı bırakmak için tasarlanmış zaman sınırlı kurulum şifrelerini uygulayabilir ve kimlik avına dirençli çok faktörlü kimlik doğrulama (MFA) gibi daha güvenli kimlik doğrulama yöntemlerini etkinleştirmek için hızlı yöneticiler.
Başka bir olasılık, ilk kurulum için fiziksel erişimi zorunlu kılmayı ve her örnek için farklı kimlik bilgilerini belirlemeyi içerir.
On yıl önce CISA, varsayılan şifrelerle ilgili güvenlik açıklarını vurgulayan başka bir danışma bildirimi yayınladı. Danışma, özellikle kritik altyapı ve gömülü sistemlere yükseltilmiş risk faktörlerinin altını çizdi.
Siber güvenlik ajansı, "Saldırganlar, paylaşılan varsayılan şifreleri kullanan internet bağlantılı sistemleri kolayca tanımlayabilir ve erişebilir. Varsayılan üretici şifrelerini değiştirmek ve ağ erişimini kritik ve önemli sistemlere sınırlamak zorunludur." Dedi.
"Varsayılan şifreler ilk test, kurulum ve yapılandırma işlemleri için tasarlanmıştır ve birçok satıcı, sistemi bir üretim ortamında dağıtmadan önce varsayılan parolayı değiştirmenizi önerir."
İranlı hackerlar, ABD'yi ihlal etmek için çevrimiçi olarak maruz kalan Unitronics Programlanabilir Mantık Denetleyicileri (PLC'ler) için '1111' varsayılan bir şifre kullanarak bu yaklaşımı kısa süre önce kullandılar. ABD su tesisi de dahil olmak üzere kritik altyapı sistemleri.
FBI: Eleştirel Orgs dahil olmak üzere 300 kurbanı ihlal eden fidye yazılımı
Active Directory'nizi bu şifre tabanlı güvenlik açıklarından koruyun
Hackerlar Adobe Coldfusion Sustay'ı kullanarak ABD govt ajanslarını ihlal ediyor
Cisa aktif olarak sömürülen Windows, Sophos ve Oracle Bugs konusunda uyarıyor
FBI ve CISA fırsatçı Rhysida fidye yazılımı saldırılarına uyuyor
Kaynak: Bleeping Computer