Uważaj! Cyberatakujący atakują oprogramowanie Foundation Accounting używane przez wykonawców
Zagrożenia cyberbezpieczeństwa przybrały niepokojący obrót dla branży budowlanej. Nowa fala cyberataków jest wymierzona konkretnie w Foundation Accounting Software, powszechnie używaną aplikację przez wykonawców, co wzbudza niepokój w sektorach takich jak hydraulika, HVAC, beton i inne. Firma zajmująca się cyberbezpieczeństwem Huntress odkryła, że atakujący wykorzystują to oprogramowanie, stosując ataki siłowe i domyślne poświadczenia, aby infiltrować podatne systemy.
Table of Contents
Rosnące zagrożenie dla wykonawców
Cyberataki, wykryte po raz pierwszy 14 września, obejmują hakerów wykorzystujących ujawnione wystąpienia oprogramowania Foundation w Internecie. Zazwyczaj oprogramowanie księgowe powinno być przechowywane za zaporą sieciową lub siecią VPN, ale ze względu na funkcjonalność aplikacji mobilnej niektóre organizacje pozostawiły publicznie ujawniony port TCP 4243, który zapewnia bezpośredni dostęp do bazy danych Microsoft SQL Server (MSSQL). Ujawnienie tego portu okazało się punktem wejścia dla atakujących.
Po wejściu do środka hakerzy atakują domyślne konto administratora systemu w instancji MSSQL, co daje im pełną kontrolę administracyjną nad serwerem bazy danych. Co niepokojące, w niektórych systemach odkryto również drugie konto z wysokimi uprawnieniami pozostawione z domyślnymi poświadczeniami, co czyni sytuację jeszcze bardziej niebezpieczną.
Jak działają ataki
Korzystając z tych domyślnych kont, atakujący zyskują możliwość wykorzystania rozszerzonej procedury składowanej w MSSQL. Daje im to bezpośrednią kontrolę nad poleceniami systemu operacyjnego, umożliwiając im uruchamianie poleceń powłoki i skryptów tak, jakby mieli pełny dostęp do systemu. Zasadniczo, atakujący są w stanie wykonywać działania bezpośrednio na serwerze, co stwarza znaczne ryzyko dla danych kontrahentów i integralności operacyjnej.
Jednym z najbardziej niepokojących odkryć Huntress był poziom automatyzacji zaangażowany w te ataki. W niektórych przypadkach hakerzy byli w stanie wykonać skrypty na wielu systemach z różnych organizacji w ciągu kilku minut. Na przykład jeden atak obejmował 35 000 prób logowania metodą brute force, zanim hakerzy uzyskali dostęp do systemu, co podkreśla nieustępliwą naturę tych cyberprzestępców.
Co możesz zrobić, aby chronić swoją firmę
Huntress zidentyfikował 33 publicznie ujawnione hosty oprogramowania Foundation działające na domyślnych poświadczeniach. Chociaż liczba ta może wydawać się niska, konsekwencje naruszenia mogą być katastrofalne. Wykonawcy budowlani korzystający z oprogramowania Foundation Accounting Software powinni działać natychmiast, podejmując następujące kroki:
- Zmień domyślne dane uwierzytelniające: Zmień wszystkie dane uwierzytelniające oprogramowania, zwłaszcza konta administratora systemu i konta o wysokich uprawnieniach.
- Ogranicz dostęp do Internetu: odłącz od Internetu wszystkie niepotrzebne programy i upewnij się, że zastosowano odpowiednie środki bezpieczeństwa, takie jak zapory sieciowe i sieci VPN.
- Wyłącz podatne na ataki procedury: Wyłącz wykorzystywaną rozszerzoną procedurę składowaną w programie MSSQL, aby uniemożliwić atakującym uruchamianie poleceń na poziomie systemu operacyjnego.
Wyprzedzić zagrożenie
Ponieważ cyberataki stają się coraz bardziej wyrafinowane, organizacje muszą zachować czujność, zwłaszcza w branżach, które zazwyczaj nie stawiają cyberbezpieczeństwa na pierwszym miejscu. Wykonawcy budowlani, często skupieni na codziennych operacjach, mogą przeoczyć luki w zabezpieczeniach, takie jak narażone oprogramowanie księgowe, ale ostatnia fala ataków stanowi surowe przypomnienie o znaczeniu silnych praktyk cyberbezpieczeństwa.
Zabezpieczając oprogramowanie Foundation i będąc na bieżąco z najnowszymi zagrożeniami, możesz uchronić swoją firmę przed tym, by stała się kolejnym celem ataków.
