黑客利用 FOUNDATION 软件中的默认凭证入侵建筑公司

2024-09-20 14:33:25 0 864

黑客利用 FOUNDATION 软件中的默认凭证入侵建筑公司



根据 Huntress 的最新发现,威胁行为者已通过渗透FOUNDATION 会计软件将目标对准了建筑行业。

该网络安全公司表示:“据观察,攻击者大规模暴力破解该软件,并仅通过使用产品的默认凭证即可获得访问权限。”

新兴威胁的目标包括管道、暖通空调(供暖、通风和空调)、混凝土和其他相关子行业。

FOUNDATION 软件配备 Microsoft SQL(MS SQL)服务器来处理数据库操作,并且在某些情况下,打开 TCP 端口 4243 以通过移动应用程序直接访问数据库。

亨特雷斯表示,该服务器包含两个高权限账户,包括默认系统管理员账户“sa”和基金会创建的账户“dba”,这些账户通常保留不变的默认凭据。

此操作的后果是,威胁行为者可以暴力破解服务器并利用xp_cmdshell 配置选项来运行任意 shell 命令。

Huntress 指出:“这是一个扩展的存储过程,允许直接从 SQL 执行操作系统命令,使用户能够运行 shell 命令和脚本,就像他们可以直接从系统命令提示符访问一样。”

2024 年 9 月 14 日,Huntress 首次检测到该活动的迹象,在成功访问之前,对一台主机上的 MS SQL 服务器记录了大约 35,000 次暴力登录尝试。

在该公司保护的端点上运行 FOUNDATION 软件的 500 台主机中,发现有 33 台可通过默认凭据公开访问。

为了减轻此类攻击带来的风险,建议轮换默认帐户凭据,尽可能停止在公共互联网上公开应用程序,并在适当的情况下禁用 xp_cmdshell 选项。

关于作者

maojila99篇文章415篇回复

评论0次

要评论?请先  登录  或  注册