Computerbeveiligingsorganisatie US-CERT waarschuwt voor het gevaar van het niet wijzigen van standaardwachtwoorden, vooral bij industriële systemen en kritieke infrastructuren. Het is de eerste keer dat het overheidsorgaan waarschuwt voor een issue dat al jarenlang bekend. De organisatie haalt zelfs oude voorbeelden aan van exploitmethodes, inclusief Stuxnet.

Leer van Stuxnet

De organisatie waarschuwt dat de overname door Stuxnet van Siemens’ centrifuges om uranium te verrijken mogelijk was, omdat de aanvallers uitgebreide kennis hadden van het systeem hadden vergaard. De toegang tot internet voor kritieke systemen moet beperkt worden, stelt de organisatie, omdat zoekmachines als Shodan deze ontdekken en met een standaardconfiguratie zijn ze vrij eenvoudig te benaderen door hackers.

Toen de Stuxnet-worm rondwaarde en er enige paniek ontstond bij bedrijven over deze supermalware, verzuimden Amerikaanse overheidsorganisaties om dergelijke waarschuwingen af te geven. Drie jaar later vindt US-CERT het tijd om te waarschuwen dat het openlaten van de standaardconfiguratie bij industriële controlesystemen niet geheel verstandig is.

Zombies door standaardconfiguratie

US-CERT haalt in zijn waarschuwing eerdere incidenten aan waaruit blijkt dat bedrijfssystemen kwetsbaar zijn als ze de standaardconfiguratie van hun systeem, met name de wachtwoorden, onveranderd laten. Met dergelijke systeemkennis werd eerder dit jaar ook een rampmeldingssysteem in de VS overgenomen, die vervolgens een waarschuwing afgaf voor een zombieplaag.

“Een veelgebruikte aanvalsmethode is door in te loggen met lege wachtwoordvelden, veelvoorkomende en standaardwachtwoorden”, waarschuwt het securityorgaan. Deze adviseert dan ook onder meer dat organisaties wachtwoordwijzigingen afdwingen, unieke wachtwoorden eisen en de netwerktoegang van kritieke systemen beperkt.

US-CERT verwijst verder naar een onderzoek van Metasploit-maker H. D. Moore van beveiligingsbedrijf Rapid 7. Die liet in 2010 al zien dat organisaties veelal de standaardconfiguratie ongewijzigd laten van het OS voor embedded systemen VxWorks. Hierdoor kunnen geautomatiseerde tools bedrijfssystemen makkelijker aanvallen.