image

VS verzoekt fabrikanten om te stoppen met standaard wachtwoorden

maandag 18 december 2023, 14:12 door Redactie, 2 reacties

De Amerikaanse overheid heeft fabrikanten van apparatuur opgeroepen om te stoppen met het gebruik van standaard wachtwoorden. Aanleiding zijn mede de aanvallen op industriële controlesystemen van fabrikant Unitronics, waarbij aanvallers door middel van het standaard wachtwoord '1111' toegang weten te krijgen. Deze systemen worden onder andere voor de drinkwatervoorziening gebruikt.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept elke techfabrikant dan ook op om standaard wachtwoorden in het ontwerp, uitbrengen en updaten van producten te elimineren. "Jaren aan bewijs laten zien dat het vertrouwen op duizenden klanten om hun wachtwoorden te wijzigen niet voldoende is, en alleen actie door techfabrikanten zal de zeer ernstige risico's kunnen oplossen waar vitale organisaties mee te maken hebben", zo stelt het CISA in een 'Secure by Design Alert' (pdf).

Volgens het CISA is het gebruik van algemeen bekende wachtwoorden gezien de huidige dreigingsomgeving onacceptabel. De Amerikaanse overheidsdienst wijst naar onderzoeken, waaronder die het zelf uitvoerde, dat standaard wachtwoorden tot de voornaamste kwetsbaarheden behoren waardoor aanvallers toegang tot systemen weten te krijgen, waaronder die van de Amerikaanse vitale infrastructuur.

"Recente aanvallen gericht op programmable logic controllers (PLCs) hardcoded met een viercijferig wachtwoord laat de potentie zien van echte schade die fabrikanten kunnen aanrichten door producten met vaste wachtwoorden aan te bieden. In deze aanvallen was het standaard wachtwoord algemeen bekend en op fora te vinden, waar aanvallers inlichtingen verzamelen die ze gebruiken voor het binnendringen van Amerikaanse systemen", aldus het CISA.

Als oplossing adviseert de overheidsdienst het gebruik van unieke wachtwoorden per product, het gebruik van wachtwoorden die alleen tijdens de initiële installatie zijn te gebruiken of het verplichten van fysieke toegang voor de eerste setup en unieke inloggegevens.

Reacties (2)
18-12-2023, 15:00 door Anoniem
Zelfs het thuis routertje komt al standaard met een "random" password op een stickertje op de achterkant.
Het zou eigenlijk geen verzoek moeten zijn maar veel dwingender.
18-12-2023, 16:51 door Anoniem
Door Anoniem: Zelfs het thuis routertje komt al standaard met een "random" password op een stickertje op de achterkant.
Het zou eigenlijk geen verzoek moeten zijn maar veel dwingender.
Dat doet meestal de fabrikant niet dat doet je provider. Die gooit zijn eigen firmware erover en voert de extra beveiliging aan. Als je de handleiding van het apparaat zelf opzoekt kom je nog vaak genoeg een admin1 wachtwoord of dergelijke tegen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.