Pas op! Cyberaanvallers richten zich op boekhoudsoftware voor stichtingen die door aannemers wordt gebruikt
Cybersecuritybedreigingen hebben een zorgwekkende wending genomen voor de bouwsector. Een nieuwe golf van cyberaanvallen is specifiek gericht op Foundation Accounting Software, een veelgebruikte applicatie door aannemers, en veroorzaakt alarmen in sectoren zoals loodgieterswerk, HVAC, beton en andere. Het cybersecuritybedrijf Huntress heeft ontdekt dat cybercriminelen deze software misbruiken met brute force-aanvallen en standaardreferenties om kwetsbare systemen te infiltreren.
Table of Contents
Een groeiende bedreiging voor aannemers
De cyberaanvallen, die voor het eerst werden gedetecteerd op 14 september, omvatten hackers die blootgestelde exemplaren van Foundation-software op internet gebruiken. Normaal gesproken zou boekhoudsoftware achter een firewall of VPN moeten worden bewaard, maar vanwege de functionaliteit van de mobiele app hebben sommige organisaties TCP-poort 4243 openbaar gemaakt, wat directe toegang biedt tot de Microsoft SQL Server (MSSQL)-database. Deze poortblootstelling is een toegangspunt gebleken voor aanvallers.
Eenmaal binnen, richten hackers zich op het standaard systeembeheerdersaccount in de MSSQL-instantie, wat hen volledige administratieve controle geeft over de databaseserver. Zorgelijk genoeg werd in sommige systemen ook een tweede account met hoge privileges aangetroffen met standaardreferenties, wat de situatie nog gevaarlijker maakte.
Hoe de aanvallen werken
Door deze standaardaccounts te gebruiken, krijgen aanvallers de mogelijkheid om een uitgebreide opgeslagen procedure binnen MSSQL te exploiteren. Dit geeft hen directe controle over OS-opdrachten, waardoor ze shell-opdrachten en scripts kunnen uitvoeren alsof ze volledige systeemtoegang hebben. In wezen stelt dit de aanvallers in staat om acties rechtstreeks op de server uit te voeren, wat een aanzienlijk risico vormt voor de gegevens en operationele integriteit van contractanten.
Een van de meest verontrustende bevindingen van Huntress was het niveau van automatisering dat bij deze aanvallen betrokken was. In sommige gevallen konden hackers binnen enkele minuten scripts uitvoeren op meerdere systemen van verschillende organisaties. Bijvoorbeeld, één aanval omvatte 35.000 brute force-inlogpogingen voordat de hackers succesvol toegang kregen tot het systeem, wat de meedogenloze aard van deze cybercriminelen benadrukt.
Wat u kunt doen om uw bedrijf te beschermen
Huntress identificeerde 33 openbaar blootgestelde Foundation software hosts die op standaardreferenties draaien. Hoewel het aantal misschien laag lijkt, kunnen de gevolgen van een inbreuk rampzalig zijn. Bouwbedrijven die Foundation Accounting Software gebruiken, moeten onmiddellijk actie ondernemen door de volgende stappen te ondernemen:
- Standaardreferenties wijzigen: draai alle referenties voor de software, met name de systeembeheerder en accounts met hoge rechten.
- Beperk blootstelling aan internet: verbreek de verbinding van onnodige software-instanties met internet en zorg voor de juiste beveiligingsmaatregelen, zoals firewalls en VPN's.
- Kwetsbare procedures uitschakelen: schakel de geëxploiteerde uitgebreide opgeslagen procedure binnen MSSQL uit om te voorkomen dat aanvallers opdrachten op OS-niveau uitvoeren.
Vooruitlopen op de dreiging
Naarmate cyberaanvallen steeds geavanceerder worden, moeten organisaties waakzaam blijven, vooral in sectoren die doorgaans geen prioriteit geven aan cybersecurity. Bouwbedrijven, die vaak gefocust zijn op dagelijkse werkzaamheden, zien kwetsbaarheden zoals blootgestelde boekhoudsoftware mogelijk over het hoofd, maar de recente golf van aanvallen dient als een duidelijke herinnering aan het belang van sterke cybersecuritypraktijken.
Door uw Foundation-software te beveiligen en op de hoogte te blijven van de nieuwste bedreigingen, voorkomt u dat uw bedrijf het volgende doelwit wordt.
