Προσέχω! Λογισμικό Λογισμικό Cyberattackers Target Foundation που χρησιμοποιείται από εργολάβους
Οι απειλές για την ασφάλεια στον κυβερνοχώρο έχουν πάρει μια ανησυχητική τροπή για τον κατασκευαστικό κλάδο. Ένα νέο κύμα κυβερνοεπιθέσεων στοχεύει συγκεκριμένα το Foundation Accounting Software, μια εφαρμογή που χρησιμοποιείται ευρέως από εργολάβους, προκαλώντας συναγερμούς σε τομείς όπως οι υδραυλικές εγκαταστάσεις, το HVAC, το σκυρόδεμα και άλλοι. Η εταιρεία κυβερνοασφάλειας Huntress αποκάλυψε ότι οι παράγοντες απειλών εκμεταλλεύονται αυτό το λογισμικό χρησιμοποιώντας επιθέσεις ωμής βίας και προεπιλεγμένα διαπιστευτήρια για να διεισδύσουν σε ευάλωτα συστήματα.
Table of Contents
Μια αυξανόμενη απειλή για τους εργολάβους
Οι κυβερνοεπιθέσεις, που εντοπίστηκαν για πρώτη φορά στις 14 Σεπτεμβρίου, περιλαμβάνουν χάκερ που χρησιμοποιούν εκτεθειμένες περιπτώσεις λογισμικού του Foundation στο Διαδίκτυο. Συνήθως, το λογιστικό λογισμικό θα πρέπει να διατηρείται πίσω από ένα τείχος προστασίας ή VPN, αλλά λόγω της λειτουργικότητας της εφαρμογής για κινητά, ορισμένοι οργανισμοί έχουν αφήσει δημόσια εκτεθειμένη τη θύρα TCP 4243, η οποία παρέχει άμεση πρόσβαση στη βάση δεδομένων του Microsoft SQL Server (MSSQL). Αυτή η έκθεση σε λιμάνι έχει αποδειχθεί ότι είναι σημείο εισόδου για εισβολείς.
Μόλις εισέλθουν στο εσωτερικό, οι χάκερ στοχεύουν τον προεπιλεγμένο λογαριασμό διαχειριστή συστήματος στην παρουσία MSSQL, γεγονός που τους παρέχει πλήρη διαχειριστικό έλεγχο του διακομιστή βάσης δεδομένων. Ανησυχητικό είναι ότι ορισμένα συστήματα διαπιστώθηκε ότι είχαν επίσης έναν δεύτερο λογαριασμό με υψηλά προνόμια με προεπιλεγμένα διαπιστευτήρια, καθιστώντας την κατάσταση ακόμη πιο επικίνδυνη.
Πώς λειτουργούν οι επιθέσεις
Χρησιμοποιώντας αυτούς τους προεπιλεγμένους λογαριασμούς, οι εισβολείς αποκτούν τη δυνατότητα να εκμεταλλευτούν μια εκτεταμένη αποθηκευμένη διαδικασία μέσα στο MSSQL. Αυτό τους δίνει άμεσο έλεγχο των εντολών του λειτουργικού συστήματος, επιτρέποντάς τους να εκτελούν εντολές φλοιού και σενάρια σαν να είχαν πλήρη πρόσβαση στο σύστημα. Ουσιαστικά, αυτό καθιστά τους εισβολείς ικανούς να εκτελούν ενέργειες απευθείας στον διακομιστή, θέτοντας σημαντικό κίνδυνο για τα δεδομένα των εργολάβων και τη λειτουργική ακεραιότητα.
Ένα από τα πιο ανησυχητικά ευρήματα του Huntress ήταν το επίπεδο αυτοματισμού που εμπλέκεται σε αυτές τις επιθέσεις. Σε ορισμένες περιπτώσεις, οι χάκερ ήταν σε θέση να εκτελέσουν σενάρια σε πολλαπλά συστήματα από διάφορους οργανισμούς μέσα σε λίγα λεπτά. Για παράδειγμα, μια επίθεση περιελάμβανε 35.000 προσπάθειες σύνδεσης με ωμή βία πριν οι χάκερ αποκτήσουν πρόσβαση στο σύστημα, υπογραμμίζοντας την αδυσώπητη φύση αυτών των εγκληματιών στον κυβερνοχώρο.
Τι μπορείτε να κάνετε για να προστατέψετε την επιχείρησή σας
Η Huntress εντόπισε 33 εκτεθειμένους στο κοινό κεντρικούς υπολογιστές λογισμικού Foundation που λειτουργούσαν με προεπιλεγμένα διαπιστευτήρια. Αν και ο αριθμός μπορεί να φαίνεται χαμηλός, οι συνέπειες μιας παραβίασης μπορεί να είναι καταστροφικές. Οι εργολάβοι κατασκευών που χρησιμοποιούν Λογισμικό Foundation Accounting θα πρέπει να ενεργήσουν αμέσως ακολουθώντας τα ακόλουθα βήματα:
- Αλλαγή προεπιλεγμένων διαπιστευτηρίων: Περιστρέψτε όλα τα διαπιστευτήρια για το λογισμικό, ειδικά τους λογαριασμούς διαχειριστή συστήματος και υψηλού προνομίου.
- Περιορίστε την έκθεση στο Διαδίκτυο: Αποσυνδέστε τυχόν περιττές παρουσίες του λογισμικού από το Διαδίκτυο και βεβαιωθείτε ότι έχετε λάβει τα κατάλληλα μέτρα ασφαλείας, όπως τείχη προστασίας και VPN.
- Απενεργοποίηση ευάλωτων διαδικασιών: Απενεργοποιήστε την εκτεταμένη αποθηκευμένη διαδικασία που εκμεταλλεύεται το MSSQL για να αποτρέψετε τους εισβολείς να εκτελούν εντολές σε επίπεδο λειτουργικού συστήματος.
Παραμένοντας μπροστά από την απειλή
Καθώς οι επιθέσεις στον κυβερνοχώρο συνεχίζουν να γίνονται πιο εξελιγμένες, οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση, ειδικά σε κλάδους που συνήθως δεν δίνουν προτεραιότητα στην ασφάλεια στον κυβερνοχώρο. Οι εργολάβοι κατασκευών, οι οποίοι συχνά επικεντρώνονται σε καθημερινές λειτουργίες, μπορεί να παραβλέπουν τρωτά σημεία όπως το εκτεθειμένο λογιστικό λογισμικό, αλλά το πρόσφατο κύμα επιθέσεων χρησιμεύει ως έντονη υπενθύμιση της σημασίας των ισχυρών πρακτικών ασφάλειας στον κυβερνοχώρο.
Προστατεύοντας το λογισμικό του Foundation και μένοντας ενημερωμένοι για τις πιο πρόσφατες απειλές, μπορείτε να προστατεύσετε την επιχείρησή σας από το να γίνει ο επόμενος στόχος.
