Взлом Foundation: хакеры массово атакуют строительных подрядчиков

Взлом Foundation: хакеры массово атакуют строительных подрядчиков

Всего один открытый порт стал ключом для несанкционированного доступа.

image

Недавно ИБ-компания Huntress сообщила о новой волне кибератак, направленных на популярное среди подрядчиков в строительной отрасли программное обеспечение Foundation Accounting Software. С 14 сентября злоумышленники начали массово взламывать это ПО, используя брутфорс-атаки и учётные данные по умолчанию для получения доступа к аккаунтам жертв.

По данным Huntress, взломаны были компании, работающие в таких сферах, как сантехника, отопление, вентиляция, кондиционирование воздуха, бетонные работы и другие подотрасли строительства. Во всех случаях Foundation был доступен через интернет, что и позволило злоумышленникам проникнуть в систему.

Эксперты поясняют, что зачастую базы данных остаются внутри сети и защищены межсетевым экраном или VPN. Однако Foundation Software предлагает возможность удалённого подключения через мобильное приложение, из-за чего порт TCP 4243 может быть открыт для общего доступа. Этот порт напрямую связан с MSSQL-сервером.

В ходе атаки хакеры используют учётную запись администратора системы в MSSQL, которая имеет полный контроль над сервером и базами данных. Проблема усугубляется тем, что в некоторых случаях создаются дополнительные учётные записи с высокими привилегиями, для которых также оставлены стандартные пароли. Эти учётные записи позволяют злоумышленникам получить доступ к расширенной хранимой процедуре в MSSQL, что открывает возможность выполнения команд операционной системы прямо из SQL-запросов.

По словам Huntress, для автоматизации атак используются скрипты, так как одни и те же команды были выполнены на разных серверах в короткий промежуток времени. В одном из случаев хакеры совершили около 35 тысяч попыток подбора пароля, прежде чем им удалось войти в систему и начать выполнение команд.

На данный момент Huntress обнаружила 33 публично доступных хоста с Foundation, на которых не были изменены стандартные учётные данные. Пострадавшие клиенты были уведомлены, а также предупреждены другие компании, также использующие это ПО.

Организациям в зоне риска рекомендуется сменить все пароли, связанные с Foundation, отключить систему от интернета и деактивировать уязвимые процедуры для повышения безопасности.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!