Pass på! Cyberattackers Target Foundation Regnskapsprogramvare som brukes av entreprenører
Cybersikkerhetstrusler har tatt en bekymringsfull vending for byggebransjen. En ny bølge av nettangrep er spesifikt rettet mot Foundation Accounting Software, en mye brukt applikasjon av entreprenører, som gir alarmer på tvers av sektorer som rørleggerarbeid, HVAC, betong og andre. Nettsikkerhetsfirmaet Huntress har avdekket at trusselaktører utnytter denne programvaren ved å bruke brute force-angrep og standardlegitimasjon for å infiltrere sårbare systemer.
Table of Contents
En økende trussel mot entreprenører
Nettangrepene, først oppdaget 14. september, involverer hackere som utnytter utsatte forekomster av Foundation-programvare på internett. Vanligvis bør regnskapsprogramvare holdes bak en brannmur eller VPN, men på grunn av mobilappens funksjonalitet har noen organisasjoner latt TCP-port 4243 være offentlig eksponert, som gir direkte tilgang til Microsoft SQL Server (MSSQL)-databasen. Denne porteksponeringen har vist seg å være et inngangspunkt for angripere.
Når de er inne, målretter hackere standard systemadministratorkontoen i MSSQL-forekomsten, som gir dem full administrativ kontroll over databaseserveren. Bekymrende nok ble det funnet at noen systemer også hadde en andre konto med høye privilegier igjen med standardlegitimasjon, noe som gjør situasjonen enda farligere.
Hvordan angrepene fungerer
Ved å bruke disse standardkontoene får angripere muligheten til å utnytte en utvidet lagret prosedyre i MSSQL. Dette gir dem direkte kontroll over OS-kommandoer, slik at de kan kjøre skallkommandoer og skript som om de hadde full systemtilgang. I hovedsak gjør dette angriperne i stand til å utføre handlinger direkte på serveren, noe som utgjør en betydelig risiko for entreprenørenes data og operasjonelle integritet.
Et av de mest urovekkende funnene fra Huntress var automatiseringsnivået involvert i disse angrepene. I noen tilfeller var hackere i stand til å kjøre skript på flere systemer fra forskjellige organisasjoner i løpet av minutter. For eksempel involverte ett angrep 35 000 brute force påloggingsforsøk før hackerne fikk tilgang til systemet, noe som fremhevet den nådeløse naturen til disse nettkriminelle.
Hva du kan gjøre for å beskytte bedriften din
Huntress identifiserte 33 offentlig eksponerte Foundation-programvareverter som kjører på standardlegitimasjon. Selv om antallet kan virke lavt, kan konsekvensene av et brudd være katastrofale. Entreprenører som bruker Foundation Accounting Software bør handle umiddelbart ved å ta følgende trinn:
- Endre standardlegitimasjon: Roter all legitimasjon for programvaren, spesielt systemadministrator og kontoer med høye privilegier.
- Begrens Internett-eksponering: Koble fra eventuelle unødvendige forekomster av programvaren fra internett og sørg for at riktige sikkerhetstiltak er på plass, for eksempel brannmurer og VPN-er.
- Deaktiver sårbare prosedyrer: Deaktiver den utnyttede utvidede lagrede prosedyren i MSSQL for å hindre angripere fra å kjøre kommandoer på OS-nivå.
Holde seg i forkant av trusselen
Ettersom cyberangrep fortsetter å bli mer sofistikerte, må organisasjoner være på vakt, spesielt i bransjer som kanskje ikke vanligvis prioriterer cybersikkerhet. Entreprenører, ofte fokusert på daglig drift, kan overse sårbarheter som utsatt regnskapsprogramvare, men den siste bølgen av angrep tjener som en sterk påminnelse om viktigheten av sterk nettsikkerhetspraksis.
Ved å sikre Foundation-programvaren din og holde deg informert om de siste truslene, kan du beskytte virksomheten din fra å bli det neste målet.
