小心!网络攻击者瞄准承包商使用的基金会会计软件
网络安全威胁对建筑行业产生了令人担忧的转变。新一波网络攻击专门针对承包商广泛使用的应用程序 Foundation Accounting Software,这引起了管道、暖通空调、混凝土等行业的警惕。网络安全公司 Huntress 发现,威胁行为者正在利用暴力攻击和默认凭据来利用该软件渗透易受攻击的系统。
Table of Contents
承包商面临的威胁日益严重
9 月 14 日首次发现的网络攻击涉及黑客利用互联网上暴露的 Foundation 软件实例。通常,会计软件应置于防火墙或 VPN 后面,但由于其移动应用功能,一些组织将 TCP 端口 4243 公开暴露,这可直接访问 Microsoft SQL Server (MSSQL) 数据库。事实证明,此端口暴露是攻击者的切入点。
一旦进入系统,黑客就会瞄准 MSSQL 实例中的默认系统管理员帐户,该帐户使他们能够完全控制数据库服务器。令人担忧的是,一些系统还被发现有第二个具有高权限的帐户,这些帐户保留了默认凭据,这让情况更加危险。
攻击如何进行
通过使用这些默认帐户,攻击者能够利用 MSSQL 中的扩展存储过程。这让他们能够直接控制操作系统命令,允许他们运行 shell 命令和脚本,就像他们拥有完整的系统访问权限一样。从本质上讲,这使得攻击者能够直接在服务器上执行操作,对承包商的数据和运营完整性构成重大风险。
Huntress 最令人不安的发现之一是这些攻击的自动化程度。在某些情况下,黑客能够在几分钟内对来自不同组织的多个系统执行脚本。例如,在一次攻击中,黑客在成功访问系统之前进行了 35,000 次暴力登录尝试,这凸显了这些网络犯罪分子的残酷本质。
您可以采取哪些措施来保护您的业务
Huntress 发现有 33 个 Foundation 软件主机在公开的情况下以默认凭据运行。虽然这个数字看起来很低,但违规的后果可能是灾难性的。使用 Foundation 会计软件的建筑承包商应立即采取以下步骤:
- 更改默认凭据:轮换软件的所有凭据,尤其是系统管理员和高权限帐户。
- 限制互联网暴露:断开软件与互联网之间任何不必要的实例,并确保采取适当的安全措施,例如防火墙和 VPN。
- 禁用易受攻击的程序:禁用 MSSQL 中被利用的扩展存储过程,以防止攻击者运行操作系统级命令。
领先于威胁
随着网络攻击变得越来越复杂,组织必须保持警惕,特别是在通常不重视网络安全的行业。建筑承包商通常专注于日常运营,可能会忽视暴露的会计软件等漏洞,但最近的攻击浪潮清楚地提醒了强大的网络安全实践的重要性。
通过保护您的 Foundation 软件并随时了解最新威胁,您可以保护您的企业免于成为下一个目标。
