Xakep #305. Многошаговые SQL-инъекции
Эксперты предупредили, что хакеры брутфорсят пароли для привилегированных учетных записей на незащищенных серверах бухгалтерского ПО Foundation, которое широко распространено в строительной отрасли.
По информации специалистов компании Huntress, вредоносная активность была впервые обнаружена 14 сентября 2024 года, и уже зафиксированы фактические взломы, связанные с этой вредоносной кампанией. Среди пострадавших числятся компании, занимающихся сантехникой, отоплением, системами вентиляции и кондиционированием воздуха, производством бетона и так далее.
В своих атаках злоумышленники эксплуатируют тот факт, что пользователи нередко не меняют стандартные учетные данные для привилегированных учетных записей, а также не защищают свои серверы должным образом.
Специалисты объясняют, что в состав Foundation входит Microsoft SQL Server (MSSQL), который может быть доступен публично через TCP-порт 4243 (для поддержки сопутствующего мобильного приложения). Такие серверы Microsoft SQL могут подвергаться атакам извне: хакеры брутфорсят учетные записи MSSQL, пользуясь тем, что по умолчанию в MSSQL существует учетная запись администратора с именем «sa», а в Foundation также добавлена учетная запись с именем «dba».
Если пользователь не изменил пароли по умолчанию на этих учетных записях, атака злоумышленников может увенчаться успехом. Кроме того, зачастую пользователи меняют пароли на слишком слабые, и они так же могут быть скомпрометированы посредством брутфорса.
Huntress сообщает, что в настоящее время наблюдает очень агрессивные брутфорс-атаки, которые порой достигают 35 000 попыток за час на одном хосте.
Если доступ успешно получен, злоумышленники активируют функцию MSSQL xp_cmdshell, которая позволяет им выполнять команды в операционной системе через SQL-запросы. Например, запрос EXEC xp_cmdshell 'ipconfig' приведет к выполнению команды ipconfig, а результаты будут отображены в ответе.
Пока в атаках фактически использовались только две команды: ipconfig для получения сведений о конфигурации сети и wmic для получения информации о железе, ОС и аккаунтах пользователей.
Исследователи сообщают, что выявили 500 хостов, на которых работало бухгалтерское ПО Foundation, и в 33 случаях БД MSSQL были доступны с учетными данными администратора по умолчанию.