Bilgisayar Korsanları İnşaat Şirketlerine Saldırıda Bulunmak İçin FOUNDATION Yazılımındaki Varsayılan Kimlik Bilgilerini Kullanıyor

19 Eylül 2024Ravie LakshmananSiber Saldırı / Hackleme

Tehdit aktörlerinin inşaat sektörüne sızarak bu sektörü hedef aldığı gözlemlendi. FOUNDATION Muhasebe YazılımıHuntress’ın yeni bulgularına göre.

Siber güvenlik şirketi, “Saldırganların yazılımı büyük ölçekte zorla ele geçirdikleri ve yalnızca ürünün varsayılan kimlik bilgilerini kullanarak erişim sağladıkları gözlemlendi” dedi. söz konusu.

Ortaya çıkan tehdidin hedefleri arasında sıhhi tesisat, HVAC (ısıtma, havalandırma ve klima), beton ve diğer ilgili alt endüstriler yer alıyor.

FOUNDATION yazılımı, veritabanı işlemlerini gerçekleştirmek için bir Microsoft SQL (MS SQL) Sunucusu ile birlikte gelir ve bazı durumlarda, mobil uygulama aracılığıyla veritabanına doğrudan erişim sağlamak için 4243 numaralı TCP portunu açar.

Huntress, sunucuda “sa” adlı varsayılan sistem yöneticisi hesabı ve FOUNDATION tarafından oluşturulan “dba” adlı hesap olmak üzere iki adet yüksek ayrıcalıklı hesap bulunduğunu ve bunların genellikle varsayılan kimlik bilgileri değiştirilmeden bırakıldığını söyledi.

Bu eylemin bir sonucu olarak, tehdit aktörleri sunucuya kaba kuvvet uygulayabilir ve xp_cmdshell yapılandırma seçeneğini kullanarak keyfi kabuk komutlarını çalıştırabilir.

Huntress, “Bu, işletim sistemi komutlarının doğrudan SQL’den yürütülmesine olanak tanıyan genişletilmiş bir saklı yordamdır ve kullanıcıların sistem komut isteminden doğrudan erişimleri varmış gibi kabuk komutlarını ve betiklerini çalıştırmalarına olanak tanır” dedi.

Faaliyetin ilk belirtileri Huntress tarafından 14 Eylül 2024’te tespit edildi ve başarılı bir erişim elde edilmeden önce bir ana bilgisayardaki MS SQL sunucusuna karşı yaklaşık 35.000 kaba kuvvet giriş girişimi kaydedildi.

Şirketin koruduğu uç noktalarda FOUNDATION yazılımını çalıştıran 500 ana bilgisayardan 33’ünün varsayılan kimlik bilgileriyle herkese açık olarak erişilebilir olduğu tespit edildi.

Bu tür saldırıların oluşturduğu riski azaltmak için varsayılan hesap kimlik bilgilerini değiştirmeniz, mümkünse uygulamayı genel internet üzerinden kullanıma açmayı bırakmanız ve uygun durumlarda xp_cmdshell seçeneğini devre dışı bırakmanız önerilir.