Akta sig! Cyberattackers Target Foundation bokföringsprogram som används av entreprenörer
Cybersäkerhetshot har tagit en oroande vändning för byggbranschen. En ny våg av cyberattacker riktar sig specifikt till Foundation Accounting Software, en flitigt använd applikation av entreprenörer, som ger larm inom sektorer som VVS, VVS, betong och andra. Cybersäkerhetsföretaget Huntress har avslöjat att hotaktörer utnyttjar denna programvara med hjälp av brute force-attacker och standardreferenser för att infiltrera sårbara system.
Table of Contents
Ett växande hot mot entreprenörer
Cyberattackerna, som först upptäcktes den 14 september, involverar hackare som utnyttjar utsatta instanser av Foundation-programvara på internet. Vanligtvis bör bokföringsprogram förvaras bakom en brandvägg eller VPN, men på grund av dess mobilappfunktionalitet har vissa organisationer lämnat TCP-port 4243 offentligt exponerad, vilket ger direkt tillgång till Microsoft SQL Server (MSSQL)-databasen. Denna hamnexponering har visat sig vara en startpunkt för angripare.
Väl inne riktar hackare in sig på standardsystemadministratörskontot i MSSQL-instansen, vilket ger dem full administrativ kontroll över databasservern. Oroväckande nog visade sig vissa system också ha ett andra konto med höga privilegier kvar med standardinloggningsuppgifter, vilket gör situationen ännu farligare.
Hur attackerna fungerar
Genom att använda dessa standardkonton får angripare möjligheten att utnyttja en utökad lagrad procedur inom MSSQL. Detta ger dem direkt kontroll över OS-kommandon, vilket gör att de kan köra skalkommandon och skript som om de hade full systemåtkomst. I huvudsak gör detta angriparna kapabla att utföra åtgärder direkt på servern, vilket utgör en betydande risk för entreprenörers data och operativa integritet.
Ett av de mest oroande fynden från Huntress var nivån av automatisering som var involverad i dessa attacker. I vissa fall kunde hackare köra skript på flera system från olika organisationer inom några minuter. Till exempel involverade en attack 35 000 brute force inloggningsförsök innan hackarna lyckades komma åt systemet, vilket framhävde den obevekliga naturen hos dessa cyberbrottslingar.
Vad du kan göra för att skydda ditt företag
Huntress identifierade 33 offentligt exponerade Foundation-programvaror som körs på standardinloggningsuppgifter. Även om antalet kan tyckas lågt, kan konsekvenserna av ett brott bli katastrofala. Byggentreprenörer som använder Foundation Accounting Software bör agera omedelbart genom att vidta följande steg:
- Ändra standarduppgifter: Rotera alla autentiseringsuppgifter för programvaran, särskilt systemadministratören och konton med hög privilegie.
- Begränsa Internetexponering: Koppla bort alla onödiga instanser av programvaran från internet och se till att lämpliga säkerhetsåtgärder är på plats, såsom brandväggar och VPN.
- Inaktivera sårbara procedurer: Inaktivera den utnyttjade utökade lagrade proceduren inom MSSQL för att förhindra angripare från att köra kommandon på OS-nivå.
Ligga före hotet
När cyberattacker fortsätter att bli mer sofistikerade måste organisationer förbli vaksamma, särskilt i branscher som vanligtvis inte prioriterar cybersäkerhet. Byggentreprenörer, ofta fokuserade på den dagliga verksamheten, kan förbise sårbarheter som exponerad bokföringsprogram, men den senaste vågen av attacker fungerar som en stark påminnelse om vikten av starka cybersäkerhetsmetoder.
Genom att säkra din Foundation-programvara och hålla dig informerad om de senaste hoten kan du skydda ditt företag från att bli nästa mål.
