¡Cuidado! Los ciberatacantes atacan el software de contabilidad de fundaciones que utilizan los contratistas

Las amenazas de ciberseguridad han tomado un giro preocupante para la industria de la construcción. Una nueva ola de ciberataques está apuntando específicamente a Foundation Accounting Software, una aplicación ampliamente utilizada por los contratistas, lo que hace sonar las alarmas en sectores como la plomería, la calefacción, la ventilación y el aire acondicionado, el hormigón y otros. La empresa de ciberseguridad Huntress ha descubierto que los actores de amenazas están explotando este software mediante ataques de fuerza bruta y credenciales predeterminadas para infiltrarse en los sistemas vulnerables.

Una amenaza creciente para los contratistas

Los ciberataques, detectados por primera vez el 14 de septiembre, implican a piratas informáticos que aprovechan instancias expuestas del software de Foundation en Internet. Por lo general, el software de contabilidad debe mantenerse detrás de un firewall o VPN, pero debido a su funcionalidad de aplicación móvil, algunas organizaciones han dejado expuesto públicamente el puerto TCP 4243, que proporciona acceso directo a la base de datos Microsoft SQL Server (MSSQL). Esta exposición del puerto ha demostrado ser un punto de entrada para los atacantes.

Una vez dentro, los piratas informáticos atacan la cuenta de administrador del sistema predeterminada en la instancia MSSQL, que les otorga control administrativo total sobre el servidor de base de datos. Es preocupante que algunos sistemas también tuvieran una segunda cuenta con privilegios elevados y credenciales predeterminadas, lo que hace que la situación sea aún más peligrosa.

Cómo funcionan los ataques

Al utilizar estas cuentas predeterminadas, los atacantes obtienen la capacidad de explotar un procedimiento almacenado extendido dentro de MSSQL. Esto les otorga control directo sobre los comandos del sistema operativo, lo que les permite ejecutar comandos y scripts de shell como si tuvieran acceso total al sistema. Básicamente, esto permite que los atacantes realicen acciones directamente en el servidor, lo que representa un riesgo significativo para los datos y la integridad operativa de los contratistas.

Uno de los hallazgos más inquietantes de Huntress fue el nivel de automatización involucrado en estos ataques. En algunos casos, los piratas informáticos pudieron ejecutar scripts en múltiples sistemas de varias organizaciones en cuestión de minutos. Por ejemplo, un ataque implicó 35.000 intentos de inicio de sesión por fuerza bruta antes de que los piratas informáticos pudieran acceder al sistema con éxito, lo que pone de relieve la naturaleza implacable de estos cibercriminales.

Qué puede hacer para proteger su negocio

Huntress identificó 33 hosts de software Foundation expuestos públicamente que se ejecutan con credenciales predeterminadas. Si bien la cantidad puede parecer baja, las consecuencias de una infracción pueden ser desastrosas. Los contratistas de construcción que utilizan el software de contabilidad Foundation deben actuar de inmediato siguiendo estos pasos:

1. Cambiar las credenciales predeterminadas: rote todas las credenciales del software, especialmente las del administrador del sistema y las cuentas con altos privilegios.
2. Limite la exposición a Internet: desconecte cualquier instancia innecesaria del software de Internet y asegúrese de que existan medidas de seguridad adecuadas, como firewalls y VPN.
3. Deshabilitar procedimientos vulnerables: deshabilite el procedimiento almacenado extendido explotado dentro de MSSQL para evitar que los atacantes ejecuten comandos a nivel de sistema operativo.

Mantenerse a la vanguardia de las amenazas

A medida que los ciberataques se vuelven cada vez más sofisticados, las organizaciones deben permanecer alertas, especialmente en industrias que normalmente no priorizan la ciberseguridad. Los contratistas de construcción, que suelen centrarse en las operaciones diarias, pueden pasar por alto vulnerabilidades como el software de contabilidad expuesto, pero la reciente ola de ataques sirve como un claro recordatorio de la importancia de contar con prácticas sólidas de ciberseguridad.

Al proteger su software Foundation y mantenerse informado sobre las últimas amenazas, puede proteger su negocio para que no se convierta en el próximo objetivo.