19/09/24
Недавно ИБ-компания Huntress сообщила о новой волне кибератак, направленных на популярное среди подрядчиков в строительной отрасли программное обеспечение Foundation Accounting Software. С 14 сентября злоумышленники начали массово взламывать это ПО, используя брутфорс-атаки и учётные данные по умолчанию для получения доступа к аккаунтам жертв.
По данным Huntress, взломаны были компании, работающие в таких сферах, как сантехника, отопление, вентиляция, кондиционирование воздуха, бетонные работы и другие подотрасли строительства. Во всех случаях Foundation был доступен через интернет, что и позволило злоумышленникам проникнуть в систему, пишет Securitylab.
Эксперты поясняют, что зачастую базы данных остаются внутри сети и защищены межсетевым экраном или VPN. Однако Foundation Software предлагает возможность удалённого подключения через мобильное приложение, из-за чего порт TCP 4243 может быть открыт для общего доступа. Этот порт напрямую связан с MSSQL-сервером.
В ходе атаки хакеры используют учётную запись администратора системы в MSSQL, которая имеет полный контроль над сервером и базами данных. Проблема усугубляется тем, что в некоторых случаях создаются дополнительные учётные записи с высокими привилегиями, для которых также оставлены стандартные пароли. Эти учётные записи позволяют злоумышленникам получить доступ к расширенной хранимой процедуре в MSSQL, что открывает возможность выполнения команд операционной системы прямо из SQL-запросов.
По словам Huntress, для автоматизации атак используются скрипты, так как одни и те же команды были выполнены на разных серверах в короткий промежуток времени. В одном из случаев хакеры совершили около 35 тысяч попыток подбора пароля, прежде чем им удалось войти в систему и начать выполнение команд.
На данный момент Huntress обнаружила 33 публично доступных хоста с Foundation, на которых не были изменены стандартные учётные данные. Пострадавшие клиенты были уведомлены, а также предупреждены другие компании, также использующие это ПО.
