CISA เรียกร้องให้ผู้ผลิตเลิกใช้ Default Password

U.S. Cybersecurity and Infrastructure Security Agency หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกมาเรียกร้องให้ผู้ผลิตเลิกใช้ Default Password

เนื่องจากมีความเสี่ยงที่ Hacker จะใช้ Default Password ดังกล่าวในการโจมตีเพื่อติดตั้ง Backdoor เพื่อใช้ในการเข้าถึงอุปกรณ์ที่มีช่องโหว่ที่เข้าถึงได้จากอินเทอร์เน็ต โดยทั่วไปแล้ว Default Password จะถูกใช้เพื่อปรับปรุงกระบวนการผลิต หรือช่วยให้ผู้ดูแลระบบสามารถดำเนินการกับอุปกรณ์จำนวนมากภายในสภาพแวดล้อมขององค์กรได้ง่ายขึ้น แต่หากไม่ได้เปลี่ยน Default Password ก็อาจเป็นความเสี่ยงด้านความปลอดภัยที่ Hacker สามารถใช้เพื่อหลีกเลี่ยงมาตรการตรวจสอบสิทธิ์ ซึ่งอาจส่งผลต่อความปลอดภัยของเครือข่ายทั้งหมดขององค์กรได้เช่นเดียวกัน

CISA ได้รายงานว่าจากข้อมูลที่ได้รวบรวมมาหลายปีแสดงให้เห็นว่าผู้ใช้งานหลายพันราย ไม่ได้ให้ความสำคัญในการเปลี่ยน Default Password และมีเพียงการดำเนินการร่วมกันของผู้ผลิตเท่านั้นที่จะจัดการกับความเสี่ยงเหล่านี้ได้

ทางเลือกทดแทน Default Password

CISA ได้แนะนำให้ผู้ผลิตจัดเตรียมการตั้งค่ารหัสผ่านที่ไม่ซ้ำกัน หรือ Unique Setup Passwords ให้กับลูกค้า ซึ่งปรับให้เหมาะกับแต่ละอินสแตนซ์ของผลิตภัณฑ์ เป็นทางเลือกแทนการใช้รหัสผ่านแบบ Default Password กับประเภทผลิตภัณฑ์ และเวอร์ชันทั้งหมด รวมถึงการใช้รหัสผ่านการตั้งค่าแบบจำกัดเวลา ซึ่งออกแบบมาเพื่อปิดใช้งานเมื่อขั้นตอนการตั้งค่าสิ้นสุดลง และแจ้งให้ผู้ดูแลระบบเปิดใช้งานวิธีการตรวจสอบสิทธิ์ที่ปลอดภัยยิ่งขึ้น เช่น Multi-Factor Authentication (MFA) ที่ยังช่วยสามารถป้องกันการโจมตีแบบ Phishing ได้

นอกจากนี้ยังได้แนะนำการใช้การเข้าถึงทางกายภาพ (Physical Access) สำหรับการตั้งค่าเริ่มต้น และการระบุข้อมูลรับรองที่แตกต่างกันสำหรับแต่ละอินสแตนซ์อีกด้วย

โดย CISA ได้ออกประกาศคำแนะนำการแก้ไขช่องโหว่ด้านความปลอดภัยที่เกี่ยวข้องกับ Default Password ตั้งเมื่อ 10 ปีที่แล้ว รวมไปถึงเมื่อไม่นานมานี้ก็มีการค้นพบ Hacker ชาวอิหร่านเพิ่งใช้วิธีการนี้ โดยใช้ '1111' ซึ่งเป็น Default Password สำหรับ programmable logic controllers (PLCs) ของ Unitronics ที่ถูกเปิดเผยทางอินเทอร์เน็ต ในการโจมตีระบบโครงสร้างพื้นฐานที่สำคัญ รวมถึง U.S. water facility ของสหรัฐอเมริกา

ที่มา : bleepingcomputer