حثت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) مصنعي التكنولوجيا على التوقف عن تزويد البرامج والأجهزة بكلمات المرور الافتراضية.
وبمجرد اكتشافها، يمكن للجهات الفاعلة في مجال التهديد استخدام بيانات الاعتماد الافتراضية هذه كباب خلفي لاختراق الأجهزة الضعيفة المكشوفة عبر الإنترنت. تُستخدم كلمات المرور الافتراضية بشكل شائع لتبسيط عملية التصنيع أو مساعدة مسؤولي النظام على نشر أعداد كبيرة من الأجهزة داخل بيئة المؤسسة بسهولة أكبر.
ومع ذلك، فإن الفشل في تغيير هذه الإعدادات الافتراضية يخلق نقطة ضعف أمنية يمكن للمهاجمين استغلالها للتحايل على إجراءات المصادقة، مما قد يعرض أمان شبكة مؤسستهم بالكامل للخطر.
"يحث تنبيه SbD هذا الشركات المصنعة للتكنولوجيا على التخلص بشكل استباقي من مخاطر استغلال كلمة المرور الافتراضية" قالت CISA ، من خلال الحصول على "ملكية النتائج الأمنية للعملاء" وبناء "الهيكل التنظيمي والقيادة لتحقيق هذه الأهداف".
"لقد أثبتت سنوات من الأدلة أن الاعتماد على آلاف العملاء لتغيير كلمات المرور الخاصة بهم ليس كافيًا، وأن الإجراءات المتضافرة من قبل الشركات المصنعة للتكنولوجيا هي وحدها القادرة على معالجة المخاطر الشديدة التي تواجه مؤسسات البنية التحتية الحيوية بشكل مناسب".
بدائل لكلمات المرور الافتراضية
نصيحة وكالة الأمن السيبراني الأمريكية هي أن يقدم الشركات المصنعة لعملائها كلمات مرور فريدة لإعداد كل منتج بشكل مخصص بدلاً من استخدام كلمة مرور افتراضية واحدة لجميع منتجاتها وإصداراتها.
علاوة على ذلك، يمكنهم تنفيذ كلمات مرور مؤقتة لعملية الإعداد تصمم لتعطيل نفسها بمجرد انتهاء مرحلة الإعداد وتطلب من المسؤولين تفعيل طرق المصادقة الأكثر أمانًا مثل المصادقة الثنائية المقاومة للتصيّد (MFA).
وتتضمن إمكانية أخرى أن يتم تحديد الوصول الفعلي لعملية الإعداد الأولية وتحديد بيانات اعتماد مختلفة لكل حالة.
منذ عشر سنوات، أصدرت CISA إشعارًا استشاريًا آخر يسلط الضوء على الثغرات الأمنية المرتبطة بكلمات المرور الافتراضية. وقد سلطت هذه النصائح الضوء على وجه التحديد على عوامل الخطر المتزايدة التي تتعرض لها البنية التحتية الحيوية والأنظمة المدمجة.
"يمكن للمهاجمين التعرف بسهولة على الأنظمة المتصلة بالإنترنت التي تستخدم كلمات المرور الافتراضية المشتركة والوصول إليها. ومن الضروري تغيير كلمات المرور الافتراضية للشركة المصنعة وتقييد الوصول إلى الشبكة للأنظمة المهمة والمهمة. وقالت وكالة الأمن السيبراني.
"كلمات المرور الافتراضية مخصصة لعمليات الاختبار الأولي والتثبيت والتكوين، ويوصي العديد من البائعين بتغيير كلمة المرور الافتراضية قبل نشر النظام في بيئة الإنتاج."
المصدر: BleepingComputer