Hoje, a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) instou os fabricantes de tecnologia a parar de fornecer software e dispositivos com senhas padrão.
Uma vez descobertas, os agentes de ameaças podem usar essas credenciais padrão como uma backdoor para violar dispositivos vulneráveis expostos online.
As senhas padrão são comumente usadas para agilizar o processo de fabricação ou ajudar os administradores de sistema a implantar grandes quantidades de dispositivos dentro de um ambiente empresarial com mais facilidade.
No entanto, a falha em alterar estas configurações padrão cria uma fraqueza de segurança que os invasores podem explorar para burlar medidas de autenticação, comprometendo potencialmente a segurança de toda a rede da organização.
"Este alerta de SbD insta os fabricantes de tecnologia a eliminarem proativamente o risco de exploração de senha padrão", disse a CISA, ao assumir a "responsabilidade pelos resultados de segurança do cliente" e construir "estrutura organizacional e liderança para alcançar esses objetivos."
"Ao implementar esses dois princípios em seus processos de projeto, desenvolvimento e entrega, os fabricantes de software evitarão a exploração de senhas padrão estáticas nos sistemas de seus clientes."
"Anos de evidência demonstraram que confiar em milhares de clientes para mudar suas senhas é insuficiente, e apenas uma ação concertada dos fabricantes de tecnologia abordará adequadamente os graves riscos enfrentados pelas organizações de infraestrutura crítica", acrescentou a CISA.
A agência de cibersegurança dos EUA aconselhou os fabricantes a fornecerem aos clientes senhas de configuração únicas adaptadas a cada instância de produto como uma alternativa ao uso de uma única senha padrão em todas as linhas e versões de produtos.
Além disso, eles podem implementar senhas de configuração limitadas no tempo, projetadas para desativar uma vez que a fase de configuração conclui e solicita admins a ativar métodos de autenticação mais seguros, como a Autenticação Multi-Fator resistente a phishing (MFA).
Outra possibilidade envolve exigir acesso físico para a configuração inicial e especificar credenciais distintas para cada instância.
Dez anos atrás, a CISA emitiu outro aviso consultivo destacando as vulnerabilidades de segurança associadas às senhas padrão.
O aviso especificamente sublinhou os fatores de risco aumentados para infraestrutura crítica e sistemas embutidos.
"Os agressores podem facilmente identificar e acessar sistemas conectados à internet que usam senhas padrão compartilhadas.
É imperativo mudar as senhas padrão do fabricante e restringir o acesso à rede em sistemas críticos e importantes", disse a agência de cibersegurança.
"As senhas padrão são destinadas para testes iniciais, instalação e operações de configuração, e muitos fornecedores recomendam a alteração da senha padrão antes de implantar o sistema em um ambiente de produção."
Hackers iranianos recentemente usaram essa abordagem, usando uma senha padrão '1111' para controladores lógicos programáveis (PLCs) da Unitronics expostos online para violar sistemas de infraestrutura crítica dos EUA, incluindo uma instalação de água dos EUA.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...