Эксперты предупредили, что хакеры брутфорсят пароли для привилегированных учетных записей на незащищенных серверах бухгалтерского ПО Foundation, которое широко распространено в строительной отрасли.

По информации специалистов компании Huntress, вредоносная активность была впервые обнаружена 14 сентября 2024 года, и уже зафиксированы фактические взломы, связанные с этой вредоносной кампанией. Среди пострадавших числятся компании, занимающихся сантехникой, отоплением, системами вентиляции и кондиционированием воздуха, производством бетона и так далее.

В своих атаках злоумышленники эксплуатируют тот факт, что пользователи нередко не меняют стандартные учетные данные для привилегированных учетных записей, а также не защищают свои серверы должным образом.

Специалисты объясняют, что в состав Foundation входит Microsoft SQL Server (MSSQL), который может быть доступен публично через TCP-порт 4243 (для поддержки сопутствующего мобильного приложения). Такие серверы Microsoft SQL могут подвергаться атакам извне: хакеры брутфорсят учетные записи MSSQL, пользуясь тем, что по умолчанию в MSSQL существует учетная запись администратора с именем «sa», а в Foundation также добавлена учетная запись с именем «dba».

Если пользователь не изменил пароли по умолчанию на этих учетных записях, атака злоумышленников может увенчаться успехом. Кроме того, зачастую пользователи меняют пароли на слишком слабые, и они так же могут быть скомпрометированы посредством брутфорса.

Huntress сообщает, что в настоящее время наблюдает очень агрессивные брутфорс-атаки, которые порой достигают 35 000 попыток за час на одном хосте.

Если доступ успешно получен, злоумышленники активируют функцию MSSQL xp_cmdshell, которая позволяет им выполнять команды в операционной системе через SQL-запросы. Например, запрос EXEC xp_cmdshell 'ipconfig' приведет к выполнению команды ipconfig, а результаты будут отображены в ответе.

Пока в атаках фактически использовались только две команды: ipconfig для получения сведений о конфигурации сети и wmic для получения информации о железе, ОС и аккаунтах пользователей.

Исследователи сообщают, что выявили 500 хостов, на которых работало бухгалтерское ПО Foundation, и в 33 случаях БД MSSQL были доступны с учетными данными администратора по умолчанию.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии