CISA, bilgisayar güvenliğini ciddi şekilde yapmanın tehlikelerini uyarmak için tanımlanmayan kritik altyapıların bir organizasyonunun son zamanlarda yapılan bir probunun sonuçlarını kullanıyor.
Amerika Birleşik Devletleri Bilgisayar Güvenlik Ajansı, Birleşik Devletler Sahil Güvenlik Uzmanları (USCG) ile birlikte, net kimlik bilgilerinin depolanması da dahil olmak üzere gizemli organizasyona güvenlik yaklaşımında sayısız zayıflık belirlemiştir.
Tehdit avcıları iğrenç oyun işaretleri veya ağda zararlı aktiviteler bulamadılar, ancak Uzatılmış Perşembe günkü sonuçlarının şu şekilde riskleri vurgulayarak şu riskleri vurgulamaktadır.
- Yetersiz kayıt
- Korumasız kimlik bilgileri
- Birçok iş istasyonunda paylaşılan yerel yönetim kimlik bilgileri
- Yerel yönetim hesapları için kısıtlamalar olmadan uzaktan erişim
- BT ve operasyonel teknolojik kaynaklar arasında yetersiz ağ segmentasyon yapılandırması
- Cihazların tek kontrolleri
CISA’nın raporu, deniz sektöründe yönetilen sorudaki altyapıların eleştirel organizasyonunu açıkça etkilememiştir. Bununla birlikte, USCG ile işbirliği yapması ve keşiflerinin çoğunun siber komutanın siber komutasının 2024 eğilimlerinin üst üste gelmesi, ilişkinin konusunun her iki yetkiliye de ilgilendiğini düşündürmektedir.
Bu organizasyonun en ciddi suçu, benzersiz olmayan yerel yönetim hesaplarının paylaşılmasıydı. şifre Cisa’ya göre, yerçekimi sırasına göre riskleri sıralayan Cisa’ya göre.
Ajans, bu hesaplardan “bazılarının” bulunduğunu – sadece iş istasyonu, alan olmayan veya cihazlarda – bulunduğunu ve birçok ana bilgisayar arasında paylaşıldığını söyledi. Kimlik bilgileri, aynı ve ek olmayan şifrelere sahip yönetim hesapları oluşturmak için kullanılan açık lotlarda komut dosyalarında arşivlendi.
CISA, “Yerel yönetim kimlik bilgilerinin çok sayıda ana bilgisayardaki net komut dosyalarında depolanması, yetkisiz bir erişim riskini arttırıyor ve aynı olmayan parola kullanımı ağ boyunca yanal hareketi kolaylaştırıyor.” “Bu parti komut dosyalarından biriyle iş istasyonlarına erişimi olan lanet aktörler, kullanıcı /ekleme net olarak dizeler için sistem dosyasına bakarak, kullanıcı adları ve şifreler içeren komut dosyalarını tanımlayan ve bu hesaplara yanal olarak hareket etmek için erişen bu yerel yönetim hesapları için şifreler alabilirler.”
Bir saldırgan bu kuruluşun ağına yerel ve yerel yönetime erişim elde ettiyse, yeni hesaplardan korkabilir, kalıcı erişimi korumak, güvenlik özelliklerini devre dışı bırakmak veya zararlı bir kod enjekte etmek için yazılım yükleyebilir.
Kuruluş ayrıca, standart kullanıcı hesaplarının denetim kontrol VLAN ve veri toplama (SCADA) erişmesine izin veren operasyonel teknoloji ortamını (OT) yanlış bölümlere ayırdı.
Bu sistemlere yetkisiz erişim sağlayan birine sahip olması, gerçek dünyada güvenlik sorunları yaratacaktı, Cisa.
Ulusal Kritik Çekme dahilinde, SCADA sistemleri sensörler ve vanalar gibi çeşitli OT ekipmanlarını, radyo ve optik elyaf kabloları gibi iletişim teknolojilerini ve Programlanabilir Mantıksal Denetleyiciler.
Örneğin, bir saldırgan sıcaklık veya basınç göstergelerini veya kurslarını kontrol edebiliyorsa, teorik olarak işçiler için gerçek dünyanın tehlikelerini yaratabilirler.
CISA, araştırmacılarının yapının HVAC sistemleriyle ilgili bazı sorunlarla karşılaştıklarını, yapılandırılmış ve yetersiz kalıp sahiplerini tespit ettiğini söyledi. Doğru ayarlanırsa, bu sistemler yetkisiz erişimi ve yan hareketi önler.
“SCADA ve HVAC sistemleri fiziksel süreçleri kontrol ettiklerinden, bu sistemlerin uzlaşmaları, personelin güvenliği, altyapıların bütünlüğü ve ekipmanın işlevselliği de dahil olmak üzere gerçek dünyanın sonuçları olabilir” ilişkisini okur.
Cisa ayrıca, kuruluş tarafından iş istasyonu kayıtlarının olmaması nedeniyle istediği gibi tehditler için tam bir av yapamadığını söyledi.
Bu kayıtlar, bir kuruluşun, geçerli hesapların kullanımı ve övülen hesapların kullanımı gibi tipik savunmalardan kaçan teknikleri dağıtırken, yetkisiz erişimi ve yan hareketi tespit etme yeteneğini belirlemek için yararlıdır. EDR Bildirimler.
Cisa, “Yetersiz ormansızlaşma, soruşturmaları engelleyerek zararlı faaliyetlerin tespit edilmesini engelleyebilir, bu da tehdit aktörlerinin tespitini daha zorlu hale getirir ve ağın değersiz tehditlere duyarlı olmasını sağlar.” Dedi.
Raporda, savunucuların bilgisiyle yapılan soruşturmasının ardından uygulanması için genel önerilerin bir listesini içermektedir.
CISA’nın kırmızı ekip egzersizleri veya Silensshield değerlendirmeleri bağlamında haber vermeksizin federal ajanslara girdiği de bilinmektedir.
Bu farklı test türü, ABD’li muhaliflerin ve devletin dağıtımının sponsor olduğu BT ekiplerinin taktiklerini kullanarak uzun vadeli bir uzlaşma kampanyasını simüle ediyor.
Bir örnek bir yıl önce yine belirtilmemiş bir federal ajansla geldi ve CISA’nın internette ilerlediğini gördü. beş ay boyunca fark edilmeden kalan.
Kırmızı ekipler, Oracle Solemco Enclave’e çarpan Patch (CVE-2022-21587-9.8) olmadan kritik bir güvenlik açığı kullanarak ajansın ağına ilk erişimi elde ettiler.
Bu tam bir uzlaşmaya yol açtı ve evet, kusur CISA’ya eklendi Bilinen Güvenlik Kataloğu (KEV)Ancak bu, Cisa’nın erişim elde etmek için kullanmasından bir hafta sonra oldu. ®