حثت الوكالة الأمريكية لأمن السيبراني والبنية التحتية (CISA) الشركات المصنعة على التخلص من كلمات المرور الافتراضية على الأنظمة المكشوفة على الإنترنت بشكل كامل، مشيرة إلى المخاطر الخطيرة التي يمكن أن تستغلها الجهات الخبيثة للوصول الأولي إلى الم
ؤسسات والتحرك داخلها.
في تنبيه نشرته الوكالة الأسبوع الماضي، اتهمت الوكالة جهات التهديد الإيرانية المرتبطة بحرس الثورة الإسلامية بالاستفادة من أجهزة التكنولوجيا التشغيلية ذات كلمات مرور افتراضية للوصول إلى أنظمة البنية التحتية الحيوية في الولايات المتحدة.
تشير كلمات المرور الافتراضية إلى تكوينات البرمجيات الافتراضية للأنظمة المضمنة والأجهزة والأجهزة المنزلية التي يتم وثائقتها عادة علنيًا وتكون متطابقة بين جميع الأنظمة ضمن خط إنتاج الشركة.
ونتيجة لذلك، يمكن لجهات التهديد مسح نقاط النهاية المكشوفة على الإنترنت باستخدام أدوات مثل Shodan ومحاولة اختراقها من خلال كلمات مرور افتراضية، مكتسبة غالبًا صلاحيات root أو إدارية لأداء إجراءات ما بعد الاختراق اعتمادًا على نوع النظام.
"الأجهزة التي تأتي مع تكوين افتراضي لاسم مستخدم وكلمة مرور تشكل تهديدًا خطيرًا للمنظمات التي لا تقوم بتغييره بعد التثبيت، حيث تكون أهدافًا سهلة للخصم،" يلاحظ MITRE.
في وقت سابق هذا الشهر، كشفت CISA أن جهات التهديد الإيرانية المرتبطة بالشخصية "Cyber Av3ngers" تستهدف بنشاط وتخترق وحدات تحكم البرمجة القابلة للبرمجة من صنع إسرائيل (Unitronics Vision Series) المكشوفة علنيًا على الإنترنت باستخدام كلمات مرور افتراضية ("1111").
"في هذه الهجمات، كانت كلمة المرور الافتراضية معروفة ومنشورة على نطاق واسع في المنتديات المفتوحة حيث يعرف أن جهات التهديد يستخدمونها لاختراق الأنظمة الأمريكية،" أضافت الوكالة.
كإجراءات تخفيف، يُحث الشركات المصنعة على اتباع مبادئ التصميم الآمن وتوفير كلمات مرور فريدة عند تشغيل المنتج، أو تعطيل هذه الكلمات بعد فترة زمنية محددة وطلب من المستخدمين تمكين طرق التحقق من الهوية المتعددة مقاومة للتصيُّد.
نصحت الوكالة أيضًا البائعين بإجراء اختبارات ميدانية لتحديد كيفية نشر عملاءهم للمنتجات في بيئاتهم وما إذا كانوا يستخدمون أي آليات غير آمنة.
"تحليل هذه الاختبارات الميدانية سيساعد في سد الفجوة بين توقعات المطور واستخدام العملاء الفعلي للمنتج،" لفتت CISA الانتباه في إرشاداتها. "سيساعد أيضًا في تحديد الطرق لبناء المنتج بحيث يكون من المرجح أن يستخدمه العملاء بأمان - يجب على الشركات ضمان أن أسهل طريق هو الطريق الآمن."
تأتي هذه الكشفات بينما نسبت الهيئة الوطنية للأمن السيبراني في إسرائيل (INCD) فاعلية لبنانية لصلتها بوزارة المخابرات الإيرانية لتنظيم هجمات سيبرانية تستهدف البنية التحتية الحيوية في البلاد وسط الحرب المستمرة مع حماس منذ أكتوبر 2023.
تم ربط الهجمات، التي تشمل استغلال الثغرات الأمان المعروفة (مثل CVE-2018-13379) للحصول على معلومات حساسة ونشر برامج ضارة تدميرية، بمجموعة هجمات تسمى Plaid Rain (سابقًا Polonium).
تأتي هذه التطورات أيضًا في أعقاب إصدار إرشاد جديد من CISA يوضح تدابير مكافحة الأمان لكيانات الرعاية الصحية والبنية التحتية الحيوية لتعزيز شبكاتها ضد الأنشطة الخبيثة المحتملة وتقليل احتمالية اختراق النطاق -
- فرض كلمات مرور قوية وتقنيات التحقق من الهوية المتعددة مقاومة لصيد كلمات السر
- التأكد من أنه يتم تشغيل كل نظام فقط بالمنافذ والبروتوكولات والخدمات التي لها احتياجات تجارية موثقة
- تكوين حسابات الخدمة بالصلاحيات اللازمة فقط للخدمات التي يقومون بها
- تغيير جميع كلمات المرور الافتراضية للتطبيقات وأنظمة التشغيل وجدران الحماية ونقاط الوصول اللاسلكية وأنظمة أخرى
- وقف إعادة استخدام أو مشاركة بيانات الاعتماد الإدارية بين حسابات المستخدم/الإدارية
- فرض إدارة التصحيح المستمر
- تنفيذ ضوابط فصل الشبكة
- تقييم استخدام الأجهزة والبرمجيات غير المدعومة وإيقافها إذا كان ذلك ممكنًا
- تشفير المعلومات الشخصية وغيرها من البيانات الحساسة
على صلة، نشرت الوكالة الوطنية للأمان القومي الأمريكية (NSA)، ومكتب المدير للمخابرات الوطنية (ODNI)، وCISA قائمة بالممارسات الموصى بها يمكن للمؤسسات اعتمادها لتعزيز سلسلة التوريد البرمجية وتحسين سلامة عمليات إدارة البرمجيات مفتوحة المصدر.