Des acteurs de la menace ont été observés ciblant le secteur de la construction en s’infiltrant dans le Logiciel de comptabilité FOUNDATIONselon de nouvelles découvertes de Huntress.
« Des attaquants ont été observés en train de forcer le logiciel à grande échelle et d’y accéder simplement en utilisant les informations d’identification par défaut du produit », a déclaré la société de cybersécurité. dit.
Les cibles de cette menace émergente comprennent la plomberie, le chauffage, la ventilation et la climatisation (CVC), le béton et d’autres sous-industries connexes.
Le logiciel FOUNDATION est livré avec un serveur Microsoft SQL (MS SQL) pour gérer les opérations de base de données et, dans certains cas, dispose du port TCP 4243 ouvert pour accéder directement à la base de données via une application mobile.
Huntress a déclaré que le serveur comprend deux comptes hautement privilégiés, dont « sa », un compte d’administrateur système par défaut, et « dba », un compte créé par FOUNDATION, qui sont souvent laissés avec des informations d’identification par défaut inchangées.
Une conséquence de cette action est que les acteurs de la menace pourraient forcer le serveur et exploiter l’option de configuration xp_cmdshell pour exécuter des commandes shell arbitraires.
« Il s’agit d’une procédure stockée étendue qui permet l’exécution de commandes du système d’exploitation directement à partir de SQL, permettant aux utilisateurs d’exécuter des commandes et des scripts shell comme s’ils avaient accès directement à partir de l’invite de commande du système », a noté Huntress.
Les premiers signes de l’activité ont été détectés par Huntress le 14 septembre 2024, avec environ 35 000 tentatives de connexion par force brute enregistrées sur un serveur MS SQL sur un hôte avant d’obtenir un accès réussi.
Sur les 500 hôtes exécutant le logiciel FOUNDATION sur les points de terminaison protégés par l’entreprise, 33 d’entre eux se sont révélés accessibles au public avec des informations d’identification par défaut.
Pour atténuer le risque posé par de telles attaques, il est recommandé de faire pivoter les informations d’identification du compte par défaut, de cesser d’exposer l’application sur l’Internet public si possible et de désactiver l’option xp_cmdshell le cas échéant.