Mit <kes>+ lesen

CISA fordert Hersteller auf, Standardpasswörter abzuschaffen : Neue Passwortempfehlungen der CISA

Die US-Behörde für Cyber- und Infrastruktursicherheit (CISA) fordert Hersteller auf, bei Systemen, die über das Internet erreichbar sind, vollständig auf Standardpasswörter zu verzichten. Sie warnt davor, dass solche Passwörter von Angreifern ausgenutzt werden könnten, um sich Zugang zu Organisationen zu verschaffen und sich innerhalb dieser weiterzubewegen.

Security-Management
Lesezeit 3 Min.

In einer letzte Woche veröffentlichten Warnung beschuldigte die Agentur iranische Bedrohungsakteure, die mit dem Korps der Islamischen Revolutionsgarden (IRGC) verbunden sind, Geräte mit Standardpasswörtern auszunutzen, um Zugang zu kritischen Infrastruktursystemen in den USA zu erhalten.

Standardpasswörter sind voreingestellte Kennwörter, die von Herstellern für verschiedene Geräte und Systeme verwendet werden. Sie sind oft öffentlich bekannt und gleich für alle Geräte des Herstellers.

Das Problem dabei ist, dass böswillige Personen wie Hacker mithilfe von Tools wie Shodan im Internet nach solchen Geräten suchen können. Sie versuchen dann, mit diesen Standardpasswörtern Zugang zu den Geräten zu erhalten. Wenn sie erfolgreich sind, können sie bestimmte Kontrollrechte wie Root- oder Administratorzugriff erlangen und unerwünschte Aktionen durchführen.

Das Forschungsinstitut MITRE warnt, dass solche voreingestellten Benutzernamen und Passwörter eine ernsthafte Gefahr darstellen, wenn Unternehmen sie nach der Installation nicht ändern. Sie machen es für Angreifer einfach, Zugriff auf diese Geräte zu bekommen und könnten ein Sicherheitsrisiko darstellen.

Vor kurzem fand die Behörde CISA heraus, dass Cyberkriminelle, die mit dem IRGC verbunden sind und sich als Cyber Av3ngers bezeichnen, Angriffe auf speicherprogrammierbare Steuerungen (SPS) der Unitronics Vision-Serie durchführen. Diese Geräte werden in Israel hergestellt und sind über das Internet mit dem Standardpasswort („1111“) öffentlich zugänglich.

Die Behörde erwähnte, dass das Standardpasswort weit verbreitet und in offenen Foren veröffentlicht wurde, in denen Bedrohungsakteure Informationen sammeln, um in Systeme in den USA einzudringen.

Als Lösungsvorschlag empfiehlt die Behörde den Herstellern, dem Konzept „Sicherheit by Design“ zu folgen. Das bedeutet, dass sie eindeutige Anfangspasswörter mit ihren Produkten bereitstellen sollen. Alternativ sollten sie diese Passwörter nach einer bestimmten Zeit deaktivieren und von den Benutzern verlangen, neue zu erstellen. Außerdem sollten sie sicherstellen, dass sich die Benutzer vor Phishing schützen können, indem sie sich für Mehr-Faktor-Authentifizierungsmethoden entscheiden, die schwieriger zu täuschen sind.

Die Behörde riet den Anbietern außerdem, Feldtests durchzuführen, um herauszufinden, wie ihre Kunden die Produkte in ihren Umgebungen verwenden und ob dabei unsichere Methoden genutzt werden. „Die Auswertung dieser Feldtests wird helfen, die Lücke zwischen den Vorstellungen der Entwickler und der tatsächlichen Nutzung des Produkts durch die Kunden zu schließen“, so die CISA in ihrem Leitfaden. „Das wird auch dabei helfen, Wege zu finden, um das Produkt so zu gestalten, dass es für die Kunden sicher und einfach zu verwenden ist. Die Hersteller sollten sicherstellen, dass der einfachste Weg auch der sicherste ist.“

Die Enthüllung erfolgt, nachdem das Israel National Cyber Directorate (INCD) einen libanesischen Bedrohungsakteur mit Verbindungen zum iranischen Geheimdienstministerium für die Orchestrierung von Cyberangriffen auf kritische Infrastrukturen im Land inmitten des seit Oktober 2023 andauernden Krieges mit der Hamas verantwortlich gemacht hat.

Diese Angriffe, die auf bekannte Sicherheitslücken wie CVE-2018-13379 zurückgreifen, zielen darauf ab, sensible Informationen zu stehlen und zerstörerische Malware zu installieren. Sie werden einer Gruppe namens Plaid Rain zugeschrieben, die zuvor als Polonium bekannt war.

Die neuesten Empfehlungen der CISA konzentrieren sich auf die Sicherheit von Gesundheitseinrichtungen und kritischen Infrastrukturen. Sie sollen ihre Netzwerke vor böswilligen Aktivitäten schützen und die Möglichkeit einer Hackereinmischung verringern. Hier sind einige dieser Empfehlungen:

  • Verwendung von starken Passwörtern und sicherer Mehr-Faktor-Authentifizierung (MFA), um Phishing-Angriffe zu erschweren.
  • Sicherstellen, dass nur Ports, Protokolle und Dienste, die wirklich gebraucht werden, auf jedem System aktiv sind.
  • Konfigurieren von Dienstkonten nur mit den nötigen Berechtigungen.
  • Ändern von Standardkennwörtern für Anwendungen, Betriebssysteme, Router, Firewalls und andere Systeme.
  • Vermeiden des Teilens von Administrationsanmeldeinformationen.
  • Regelmäßiges Aktualisieren und Patchen von Software.
  • Trennung von Netzwerken durch entsprechende Kontrollen.
  • Prüfen der Verwendung nicht unterstützter Hardware und Software und gegebenenfalls Beenden ihrer Nutzung.
  • Verschlüsselung von persönlich identifizierbaren Informationen (PII) und anderen sensiblen Daten.

In diesem Zusammenhang haben die U.S. National Security Agency (NSA), das Office of the Director of National Intelligence (ODNI) und die CISA eine Liste mit empfohlenen Praktiken veröffentlicht, die Unternehmen anwenden können, um ihre Software-Lieferkette zu stärken und die Sicherheit ihrer Open-Source-Software besser zu verwalten.

Aeva Black, Leiterin der Abteilung für Sicherheit von Open-Source-Software bei CISA, sagt: „Unternehmen, die keine konsequenten und sicheren Methoden für die Verwaltung ihrer Open-Source-Software anwenden, sind anfälliger für bekannte Sicherheitslücken in diesen Softwarepaketen. Zudem haben sie mehr Schwierigkeiten, angemessen auf solche Vorfälle zu reagieren.“

Diesen Beitrag teilen: