Хакеры подбирают пароли к высокопривилегированным учетным записям на открытых серверах бухгалтерского учета Фонда, которые широко используются в строительной отрасли, для взлома корпоративных сетей.
Вредоносную активность впервые обнаружила компания Huntress , исследователи которой обнаружили атаки 14 сентября 2024 года.
Компания Huntress уже наблюдала активные нарушения безопасности в результате подобных атак на предприятиях сантехники, систем отопления, вентиляции и кондиционирования воздуха, бетонных заводах и других подотраслях.
Открытые порты и слабые пароли
В ходе этих атак злоумышленники используют комбинацию уязвимых сервисов, а также то, что пользователи не меняют учетные данные по умолчанию в привилегированных учетных записях.
Хантресс поясняет, что программное обеспечение Foundation включает в себя Microsoft SQL Server (MSSQL), который можно настроить для публичного доступа через TCP-порт 4243 для поддержки сопутствующего мобильного приложения.
Однако это также подвергает сервер Microsoft SQL опасности внешних атак, которые пытаются взломать учетные записи MSSQL, настроенные на сервере.
По умолчанию в MSSQL есть учетная запись администратора с именем «sa», а в Foundation добавлена вторая учетная запись с именем «dba».
Пользователи, которые не изменили пароли по умолчанию для этих учетных записей, подвержены взлому со стороны внешних субъектов. Те, кто изменил, но выбрал слабые пароли, все равно могут быть скомпрометированы с помощью перебора.
Компания Huntress сообщает, что наблюдала очень агрессивные атаки методом подбора паролей на эти серверы, иногда достигавшие 35 000 попыток на одном хосте в течение часа, прежде чем им удавалось успешно подобрать пароль.
Получив доступ, злоумышленники активируют функцию MSSQL «xp_cmdshell», которая позволяет злоумышленникам выполнять команды в операционной системе с помощью SQL-запроса.
Например, EXEC xp_cmdshell 'ipconfig'запрос приведет к ipconfigвыполнению команды в командной оболочке Windows, а вывод будет отображен в ответе.
Источник: Huntress
В ходе атак были обнаружены две команды: «ipconfig» для получения сведений о конфигурации сети и «wmic» для извлечения информации об оборудовании, ОС и учетных записях пользователей.
Расследование Huntress, проведенное на трех миллионах конечных точек, находящихся под ее защитой, выявило 500 хостов, на которых работало целевое бухгалтерское программное обеспечение, 33 из которых публично раскрывали базы данных MSSQL с учетными данными администратора по умолчанию. Компания Huntress сообщила BleepingComputer, что уведомила Foundation о своих выводах, и поставщик программного обеспечения ответил, что проблема затронула только локальную версию его приложения, а не облачный продукт. Фонд также отметил, что не на всех серверах открыт порт 4243, и не все целевые учетные записи используют одни и те же учетные данные по умолчанию.
Huntress рекомендует администраторам Фонда проводить ротацию учетных данных и следить за тем, чтобы они не раскрывали публично доступ к серверу MSSQL без необходимости.
от Автора: БИЛЛ ТУЛАС
Билл Тулас — технический писатель и репортер новостей по информационной безопасности с более чем десятилетним опытом работы в различных интернет-изданиях, освещающих проблемы с открытым исходным кодом, Linux, вредоносного ПО, инцидентов с утечками данных и взломами.