全球資安威脅日益嚴峻之際,以色列科技廠商 Unitronics 曾遭到駭客大規模攻擊,進而波及多座美國自來水設施。根據美國網路安全暨基礎設施安全局(CISA)表示,Unitronics 當時未更改設備預設密碼「1111」,該資訊早已在駭客論壇上廣泛流傳,引發這波駭侵事件並登上新聞版面。
雖然事件影響範圍有限,但暴露出製造業在資安設計上的嚴重漏洞,CISA 呼籲業者消除預設密碼,避免成為資安破口。
統一帳密為駭客鋪路,單一漏洞波及整個供應鏈
所謂預設密碼,指的是設備出廠時即設定的統一帳號與密碼,例如「admin/admin」或「1234」。《The Hacker News》說明,這些密碼是駭客最常利用的入侵管道,即便風險已廣為人知,許多設備仍持續以預設密碼運作,原因包括簡化初期設定、相容老舊系統,以及製造商未將資安視為產品設計核心。
《The Hacker News》指出,預設密碼早已成為駭客的「工具包」。駭客會鎖定未更改預設帳密的 OEM 裝置,作為多階段攻擊的切入點,一旦入侵成功,他們會安裝後門程式,長期保留存取權限,並逐步滲透其他連網系統。如 Mirai 殭屍網路便是透過掃描全球設備、試用常見預設密碼建立,最終造成多起史上規模最大 DDoS 攻擊,癱瘓 Twitter、Netflix 等主流平台。
《The Hacker News》表示,即使企業採用先進防毒、入侵偵測等資安技術,但只要帳號密碼未更換,攻擊者就能「合法登入」,繞過所有安全機制。為遏止此類風險,英國已立法禁止販售搭載預設密碼的物聯網設備,歐盟與美國多州也正推動相關法規,針對不合規行為處以高額罰款。
高連結產業助長資安危機,應從源頭落實安全設計
《Intelligent CISO》指出,全球製造業已成為勒索軟體攻擊最集中的產業,尤其是透過其供應鏈。製造業高度依賴龐大且複雜的供應鏈,通常涵蓋多家第三方原料供應商、物流業者與專業服務商,這種高度連結的產業特性,為駭客入侵創造更多破口,進而帶來重大風險。
一家中型製造商可能需要管理數萬個非人類身份,涵蓋生產線、雲端架構與第三方系統整合等領域。《Intelligent CISO》補充,這些身份帳號通常具備長期存取權限,甚至擁有較高的系統權限,若未妥善管理,極易成為駭客攻擊目標。
《The Hacker News》提及,要從源頭杜絕帳密漏洞,從產品設計一開始就需內建安全機制,建議措施包括:每台設備配置獨立憑證、首次啟動即要求變更密碼、驗證設備身份才能啟用、韌體簽章驗證防止重設、以及出貨前資安稽核等。
《The Hacker News》建議,對於企業 IT 團隊而言,在製造商尚未落實安全原則前,也必須主動應對,包括全面清查設備密碼、建立變更機制,以及導入密碼政策管理工具。在駭客威脅無孔不入的今日,預設密碼已不再是便利工具,而是高風險的漏洞源頭。
*本文開放合作夥伴轉載,資料來源:《The Hacker News》、《Intelligent CISO》,圖片來源:AI 生成。
