Hackerii folosesc atacuri brute force pentru a ghici parolele pentru conturile extrem de privilegiate de pe serverele de contabilitate Foundation expuse, folosite pe scară largă în industria construcțiilor, pentru a pătrunde în rețelele corporative.
Activitatea malefică a fost observată pentru prima dată de Huntress, al cărui cercetători au detectat atacurile pe 14 septembrie 2024.
Huntress a văzut deja breșe active prin aceste atacuri la companii din subindustrii precum instalații sanitare, HVAC, beton și altele.
În aceste atacuri, atacatorii profită de o combinație de servicii expuse amplificate de utilizatorii care nu își schimbă credențialele implicite pe conturile privilegiate.
Huntress explică faptul că software-ul Foundation include un server Microsoft SQL (MSSQL) care poate fi configurat să fie accesibil public prin portul TCP 4243 pentru a susține o aplicație mobilă companion.
Cu toate acestea, aceasta expune, de asemenea, serverul Microsoft SQL la atacuri externe care încearcă să forțeze conturile MSSQL configurate pe server.
În mod implicit, MSSQL are un cont de administrator numit ‘sa’, în timp ce Foundation a adăugat un al doilea numit ‘dba’.
Utilizatorii care nu și-au schimbat parolele implicite pe aceste conturi sunt susceptibili la preluări de către actorii externi. Cei care au făcut-o, dar au ales parole slabe, ar putea totuși fi compromiși prin forțare brută.
Huntress raportează că a observat atacuri brute force foarte agresive împotriva acestor servere, ajungând uneori până la 35.000 de încercări pe un singur gazdă într-o oră înainte de a ghici cu succes o parolă.
Odată ce atacatorii obțin accesul, activează funcția MSSQL ‘xp_cmdshell’, care le permite actorilor amenințării să execute comenzi în sistemul de operare printr-o interogare SQL.
De exemplu, interogarea EXEC xp_cmdshell ‘ipconfig’ va determina executarea comenzii ipconfig într-un shell de comandă Windows, iar rezultatul va fi afișat în răspuns.
Două comenzi observate în atacuri sunt ‘ipconfig’, pentru a obține detalii despre configurația rețelei, și ‘wmic’, pentru a extrage informații despre hardware, OS și conturi de utilizator.
Investigația Huntress din cele trei milioane de puncte terminale sub protecția sa a dezvăluit 500 de gazde care rulează software-ul de contabilitate vizat, dintre care 33 expuneau public bazele de date MSSQL cu credențiale de administrator implicite.
Huntress a declarat pentru BleepingComputer că a alertat Foundation cu privire la descoperirile sale, iar furnizorul de software a răspuns spunând că problema afectează doar versiunea locală a aplicației lor și nu produsul lor bazat pe cloud.
De asemenea, Foundation a remarcat că nu toate serverele au portul 4243 deschis și nu toate conturile vizate folosesc aceleași credențiale implicite.
Huntress recomandă administratorilor Foundation să-și rotească credențialele de cont și să se asigure că nu expun public serverul MSSQL dacă nu este necesar.
CISA îndeamnă producătorii de tehnologie să înceteze să folosească parole implicite
Cum să te aperi împotriva atacurilor brute force și password spray
Fortra rezolvă problema critică a parolei hardcodate din FileCatalyst Workflow
Chrome va redacta cardurile de credit, parolele atunci când partajezi ecranul Android
Blochezi parolele ‘keyboard walk’ în directorul tău activ?
Leave a Reply