La Agencia de Seguridad de Ciberseguridad y de Infraestructura de los Estados Unidos (CISA) ha instado a los fabricantes a eliminar completamente las contraseñas predeterminadas en los sistemas expuestos a Internet, citando riesgos severos que podrían ser explotados por actores maliciosos para ganar acceso inicial y moverse de manera lateral dentro de las organizaciones.
En una alerta publicada la semana pasada, la agencia llamó la atención sobre actores amenazantes iraníes afiliados al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) por explotar dispositivos de tecnología operacional con contraseñas predeterminadas para ganar acceso a sistemas críticos de infraestructura en los Estados Unidos.
Las contraseñas predeterminadas se refieren a configuraciones de software predeterminadas de fábrica para sistemas integrados, dispositivos y electrodomésticos que suelen estar públicamente documentados e idénticos entre todos los sistemas dentro de la línea de productos de un proveedor.
Como resultado, los actores amenazantes podrían escanear los puntos finales expuestos a Internet usando herramientas como Shodan e intentar vulnerarlos a través de las contraseñas predeterminadas, obteniendo a menudo privilegios de root o administrativos para realizar acciones de postexplotación según el tipo de sistema.
«Los dispositivos que vienen preconfigurados con una combinación de nombre de usuario y contraseña representan una amenaza grave para las organizaciones que no la cambian después de la instalación, ya que son objetivos fáciles para un adversario», señala MITRE.
A principios de este mes, CISA reveló que los actores cibernéticos afiliados al IRGC que utilizan la persona Cyber Av3ngers están atacando y comprometiendo controladores lógicos programables (PLC) de la serie de visión de Unitronics fabricados en Israel que están expuestos públicamente a Internet mediante el uso de contraseñas predeterminadas («1111»).
«En estos ataques, la contraseña predeterminada era ampliamente conocida y divulgada en foros abiertos donde se sabe que los actores amenazantes extraen información para su uso en los sistemas de EE. UU.», Agregó la agencia.
Como medidas de mitigación, se insta a los fabricantes a seguir los principios de diseño seguro y proporcionar contraseñas de configuración únicas con el producto o, alternativamente, desactivar tales contraseñas después de un período de tiempo predeterminado y requerir que los usuarios habiliten métodos de autenticación multifactoriales resistentes a la suplantación de identidad (MFA).
La agencia también aconsejó a los proveedores llevar a cabo pruebas de campo para determinar cómo sus clientes están implementando los productos en sus entornos y si involucran el uso de mecanismos inseguros.
«El análisis de estas pruebas de campo ayudará a cerrar la brecha entre las expectativas del desarrollador y el uso real del cliente del producto», señaló CISA en su guía.
«También ayudará a identificar formas de construir el producto para que los clientes lo usen de forma más segura; los fabricantes deben asegurarse de que la ruta más fácil sea la segura».
El anuncio se produce cuando la Dirección Nacional de Ciberseguridad de Israel (INCD) atribuyó a un actor amenazante libanés con conexiones con el Ministerio de Inteligencia iraní orquestar ataques cibernéticos contra infraestructura crítica en el país en medio de su guerra en curso con Hamas desde octubre de 2023.
Los ataques, que implican la explotación de vulnerabilidades de seguridad conocidas (por ejemplo, CVE-2018-13379) para obtener información sensible y desplegar malware destructivo, han sido vinculados a un grupo de ataque llamado Plaid Rain (anteriormente Polonio).
El desarrollo también sigue a la publicación de un nuevo aviso de CISA que describe medidas de seguridad para entidades de atención médica e infraestructura crítica para fortificar sus redes contra posibles actividades maliciosas y reducir la probabilidad de comprometer su dominio.
– Imponer contraseñas fuertes y autenticación multifactorial resistente a la suplantación de identidad (MFA)
– Asegurarse de que solo se ejecuten en cada sistema los puertos, protocolos y servicios con necesidades comerciales validadas.
– Configurar cuentas de servicio solo con los permisos necesarios para los servicios que operan
– Cambiar todas las contraseñas predeterminadas para aplicaciones, sistemas operativos, enrutadores, firewalls, puntos de acceso inalámbrico y otros sistemas
– Interrumpir la reutilización o uso compartido de credenciales administrativas entre las cuentas de usuario / administrativas
– Exigir una gestión de parches coherente
– Implementar controles de segregación de red
– Evaluar el uso de hardware y software no admitidos y discontinuarlo cuando sea posible
– Cifrar información de identificación personal (PII) y otros datos sensibles
En una nota relacionada, la Agencia de Seguridad Nacional de los Estados Unidos (NSA), la Oficina del Director de Inteligencia Nacional (ODNI) y CISA publicaron una lista de prácticas recomendadas que las organizaciones pueden adoptar para endurecer la cadena de suministro de software y mejorar la seguridad de sus procesos de gestión de software de código abierto.
«Las organizaciones que no siguen una práctica de gestión coherente y segura por diseño para el software de código abierto que utilizan son más propensas a ser vulnerables a las vulnerabilidades conocidas en los paquetes de software de código abierto y a tener más dificultades al reaccionar ante un incidente», dijo Aeva Black, líder de seguridad de software de código abierto en CISA.
