Bugün, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), teknoloji üreticilerini yazılım ve cihazlara varsayılan şifreler sağlamayı bırakmaya çağırdı.
Tehdit aktörleri, keşfedildikten sonra bu tür varsayılan kimlik bilgilerini, çevrimiçi ortamda açığa çıkan savunmasız cihazlara sızmak için bir arka kapı olarak kullanabilir. Varsayılan şifreler genellikle üretim sürecini kolaylaştırmak veya sistem yöneticilerinin kurumsal ortamda çok sayıda cihazı daha kolay dağıtmasına yardımcı olmak için kullanılır.
Bununla birlikte, bu varsayılan ayarların değiştirilmemesi, saldırganların kimlik doğrulama önlemlerini atlatmak için kullanabileceği bir güvenlik zayıflığı yaratır ve potansiyel olarak kuruluşlarının tüm ağının güvenliğini tehlikeye atar.
CISA, “Bu SbD Uyarısı, teknoloji üreticilerini varsayılan şifre istismarı riskini proaktif bir şekilde ortadan kaldırmaya teşvik ediyor” dedi ve “müşteri güvenliği sonuçlarının sahipliğini” alarak ve “bu hedeflere ulaşmak için organizasyonel yapı ve liderlik” inşa etti.
“Yazılım üreticileri, tasarım, geliştirme ve teslimat süreçlerinde bu iki prensibi uygulayarak, müşterilerinin sistemlerinde statik varsayılan şifrelerin kullanılmasını önleyecektir.”
CISA, “Yıllardır elde edilen kanıtlar, binlerce müşterinin şifrelerini değiştirmesine güvenmenin yetersiz olduğunu ve yalnızca teknoloji üreticilerinin ortak eyleminin, kritik altyapı kuruluşlarının karşı karşıya olduğu ciddi riskleri uygun şekilde ele alabileceğini gösterdi.” diye ekledi.
Varsayılan şifrelere alternatifler
ABD siber güvenlik kurumu, üreticilere, tüm ürün gruplarında ve sürümlerinde tek bir varsayılan parola kullanmaya alternatif olarak, müşterilere her ürün örneğine özel benzersiz kurulum parolaları sağlamalarını tavsiye etti.
Ayrıca, kurulum aşaması sona erdiğinde devre dışı bırakılacak ve yöneticileri kimlik avına karşı dayanıklı Çok Faktörlü Kimlik Doğrulama (MFA) gibi daha güvenli kimlik doğrulama yöntemlerini etkinleştirmeye yönlendirecek şekilde tasarlanmış, süresi sınırlı kurulum şifreleri uygulayabilirler.
Diğer bir olasılık, ilk kurulum için fiziksel erişimin zorunlu kılınması ve her örnek için farklı kimlik bilgilerinin belirtilmesidir.
On yıl önce CISA, varsayılan şifrelerle ilgili güvenlik açıklarını vurgulayan başka bir tavsiye niteliğinde bildirim yayınladı. Öneride özellikle kritik altyapı ve gömülü sistemlere yönelik artan risk faktörlerinin altı çizildi.
Siber güvenlik kurumu, “Saldırganlar, paylaşılan varsayılan şifreleri kullanan internete bağlı sistemleri kolayca tanımlayabilir ve bunlara erişebilir. Varsayılan üretici şifrelerini değiştirmek ve kritik ve önemli sistemlere ağ erişimini kısıtlamak zorunludur” dedi.
“Varsayılan şifreler ilk test, kurulum ve yapılandırma işlemleri için tasarlanmıştır ve birçok satıcı, sistemi bir üretim ortamında dağıtmadan önce varsayılan şifrenin değiştirilmesini önerir.”
İranlı bilgisayar korsanları yakın zamanda bu yaklaşımı kullandı ve Unitronics’in ABD’yi ihlal etmek üzere çevrimiçi olarak açığa çıkan programlanabilir mantık denetleyicileri (PLC’ler) için ‘1111’ varsayılan şifresini kullandı. ABD su tesisi de dahil olmak üzere kritik altyapı sistemleri.