Se ha observado que actores amenazantes atacan al sector de la construcción infiltrándose en el Software de contabilidad FOUNDATIONsegún nuevos hallazgos de Huntress.
“Se ha observado a atacantes utilizando la fuerza bruta del software a gran escala y obteniendo acceso simplemente usando las credenciales predeterminadas del producto”, dijo la empresa de ciberseguridad. dicho.
Los objetivos de esta amenaza emergente incluyen la plomería, la calefacción, la ventilación y el aire acondicionado (HVAC), el hormigón y otras subindustrias relacionadas.
El software FOUNDATION viene con un servidor Microsoft SQL (MS SQL) para manejar las operaciones de la base de datos y, en algunos casos, tiene el puerto TCP 4243 abierto para acceder directamente a la base de datos a través de una aplicación móvil.
Huntress dijo que el servidor incluye dos cuentas con altos privilegios, incluyendo “sa”, una cuenta de administrador del sistema predeterminada, y “dba”, una cuenta creada por FOUNDATION, que a menudo se dejan con las credenciales predeterminadas sin cambios.
Una consecuencia de esta acción es que los actores de amenazas podrían atacar por la fuerza el servidor y aprovechar la opción de configuración xp_cmdshell para ejecutar comandos de shell arbitrarios.
“Se trata de un procedimiento almacenado extendido que permite la ejecución de comandos del sistema operativo directamente desde SQL, lo que permite a los usuarios ejecutar comandos de shell y scripts como si tuvieran acceso directamente desde el símbolo del sistema”, señaló Huntress.
Huntress detectó los primeros signos de actividad el 14 de septiembre de 2024, con aproximadamente 35 000 intentos de inicio de sesión por fuerza bruta registrados en un servidor MS SQL en un host antes de obtener acceso exitoso.
De los 500 hosts que ejecutan el software FOUNDATION en los puntos finales protegidos por la empresa, se descubrió que 33 de ellos son accesibles públicamente con credenciales predeterminadas.
Para mitigar el riesgo que plantean tales ataques, se recomienda rotar las credenciales de cuenta predeterminadas, dejar de exponer la aplicación en Internet pública si es posible y deshabilitar la opción xp_cmdshell cuando sea apropiado.