Attenzione! I cybercriminali prendono di mira il software di contabilità delle fondazioni utilizzato dai contractor
Le minacce alla sicurezza informatica hanno preso una piega preoccupante per il settore edile. Una nuova ondata di attacchi informatici sta prendendo di mira specificamente Foundation Accounting Software, un'applicazione ampiamente utilizzata dagli appaltatori, sollevando allarmi in settori quali idraulica, HVAC, calcestruzzo e altri. La società di sicurezza informatica Huntress ha scoperto che gli autori delle minacce stanno sfruttando questo software tramite attacchi brute force e credenziali predefinite per infiltrarsi nei sistemi vulnerabili.
Table of Contents
Una minaccia crescente per gli appaltatori
Gli attacchi informatici, rilevati per la prima volta il 14 settembre, coinvolgono hacker che sfruttano istanze esposte del software Foundation su Internet. In genere, il software di contabilità dovrebbe essere tenuto dietro un firewall o una VPN, ma a causa della sua funzionalità di app mobile, alcune organizzazioni hanno lasciato esposta pubblicamente la porta TCP 4243, che fornisce accesso diretto al database Microsoft SQL Server (MSSQL). Questa esposizione della porta si è rivelata un punto di ingresso per gli aggressori.
Una volta dentro, gli hacker prendono di mira l'account predefinito dell'amministratore di sistema nell'istanza MSSQL, che fornisce loro il pieno controllo amministrativo sul server del database. In modo preoccupante, alcuni sistemi hanno anche un secondo account con privilegi elevati lasciato con credenziali predefinite, rendendo la situazione ancora più pericolosa.
Come funzionano gli attacchi
Utilizzando questi account predefiniti, gli aggressori ottengono la possibilità di sfruttare una stored procedure estesa all'interno di MSSQL. Ciò fornisce loro il controllo diretto sui comandi del sistema operativo, consentendo loro di eseguire comandi shell e script come se avessero accesso completo al sistema. In sostanza, ciò consente agli aggressori di eseguire azioni direttamente sul server, ponendo un rischio significativo per i dati e l'integrità operativa dei contraenti.
Una delle scoperte più inquietanti di Huntress è stato il livello di automazione coinvolto in questi attacchi. In alcuni casi, gli hacker sono stati in grado di eseguire script su più sistemi di varie organizzazioni in pochi minuti. Ad esempio, un attacco ha coinvolto 35.000 tentativi di accesso brute force prima che gli hacker riuscissero ad accedere con successo al sistema, evidenziando la natura implacabile di questi criminali informatici.
Cosa puoi fare per proteggere la tua attività
Huntress ha identificato 33 host software Foundation esposti pubblicamente che eseguono credenziali predefinite. Sebbene il numero possa sembrare basso, le conseguenze di una violazione possono essere disastrose. Gli appaltatori edili che utilizzano Foundation Accounting Software dovrebbero agire immediatamente adottando le seguenti misure:
- Modifica le credenziali predefinite: ruota tutte le credenziali per il software, in particolare quelle dell'amministratore di sistema e degli account con privilegi elevati.
- Limitare l'esposizione a Internet: disconnettere da Internet tutte le istanze non necessarie del software e assicurarsi che siano in atto misure di sicurezza adeguate, come firewall e VPN.
- Disabilita le procedure vulnerabili: disabilita la stored procedure estesa sfruttata in MSSQL per impedire agli aggressori di eseguire comandi a livello di sistema operativo.
Come anticipare la minaccia
Poiché gli attacchi informatici continuano a diventare più sofisticati, le organizzazioni devono rimanere vigili, soprattutto nei settori che solitamente non danno priorità alla sicurezza informatica. Gli appaltatori edili, spesso concentrati sulle operazioni quotidiane, potrebbero trascurare vulnerabilità come il software di contabilità esposto, ma la recente ondata di attacchi serve come un duro promemoria dell'importanza di solide pratiche di sicurezza informatica.
Proteggendo il tuo software Foundation e restando informato sulle minacce più recenti, puoi impedire che la tua azienda diventi il prossimo bersaglio.
