Pas på! Cyberangribere Target Foundation Regnskabssoftware, der bruges af entreprenører
Cybersikkerhedstrusler har taget en bekymrende drejning for byggebranchen. En ny bølge af cyberangreb er specifikt rettet mod Foundation Accounting Software, en udbredt applikation af entreprenører, der udløser alarmer på tværs af sektorer som VVS, HVAC, beton og andre. Cybersikkerhedsfirmaet Huntress har afsløret, at trusselsaktører udnytter denne software ved hjælp af brute force-angreb og standardlegitimationsoplysninger til at infiltrere sårbare systemer.
Table of Contents
En voksende trussel mod entreprenører
Cyberangrebene, der først blev opdaget den 14. september, involverer hackere, der udnytter udsatte forekomster af Foundation-software på internettet. Typisk skal regnskabssoftware holdes bag en firewall eller VPN, men på grund af dens mobile app-funktionalitet har nogle organisationer efterladt TCP-port 4243 offentligt eksponeret, som giver direkte adgang til Microsoft SQL Server-databasen (MSSQL). Denne porteksponering har vist sig at være et indgangspunkt for angribere.
Når hackere først er inde, målretter de mod standard systemadministratorkontoen i MSSQL-forekomsten, hvilket giver dem fuld administrativ kontrol over databaseserveren. Bekymrende nok, viste nogle systemer sig også at have en anden konto med høje privilegier tilbage med standardlegitimationsoplysninger, hvilket gør situationen endnu mere farlig.
Hvordan angrebene virker
Ved at bruge disse standardkonti får angribere mulighed for at udnytte en udvidet lagret procedure i MSSQL. Dette giver dem direkte kontrol over OS-kommandoer, hvilket giver dem mulighed for at køre shell-kommandoer og scripts, som om de havde fuld systemadgang. I bund og grund gør dette angriberne i stand til at udføre handlinger direkte på serveren, hvilket udgør en betydelig risiko for entreprenørers data og operationelle integritet.
Et af de mest foruroligende fund fra Huntress var niveauet af automatisering involveret i disse angreb. I nogle tilfælde var hackere i stand til at udføre scripts på flere systemer fra forskellige organisationer inden for få minutter. For eksempel involverede et angreb 35.000 brute force login-forsøg, før hackerne fik adgang til systemet, hvilket fremhævede disse cyberkriminelles ubarmhjertige natur.
Hvad du kan gøre for at beskytte din virksomhed
Huntress identificerede 33 offentligt eksponerede Foundation-softwareværter, der kører på standardoplysninger. Selvom tallet kan virke lavt, kan konsekvenserne af et brud være katastrofale. Entreprenører, der bruger Foundation Accounting Software, bør handle øjeblikkeligt ved at tage følgende trin:
- Skift standardlegitimationsoplysninger: Roter alle legitimationsoplysninger til softwaren, især systemadministratoren og højprivilegerede konti.
- Begræns interneteksponering: Afbryd forbindelsen til alle unødvendige forekomster af softwaren fra internettet, og sørg for, at de korrekte sikkerhedsforanstaltninger er på plads, såsom firewalls og VPN'er.
- Deaktiver sårbare procedurer: Deaktiver den udnyttede udvidede lagrede procedure i MSSQL for at forhindre angribere i at køre kommandoer på OS-niveau.
At være på forkant med truslen
Efterhånden som cyberangreb bliver ved med at blive mere sofistikerede, skal organisationer forblive på vagt, især i brancher, der måske ikke typisk prioriterer cybersikkerhed. Entreprenører, der ofte fokuserer på den daglige drift, kan overse sårbarheder som eksponeret regnskabssoftware, men den seneste bølge af angreb tjener som en skarp påmindelse om vigtigheden af stærk cybersikkerhedspraksis.
Ved at sikre din Foundation-software og holde dig informeret om de seneste trusler, kan du beskytte din virksomhed mod at blive det næste mål.
