Se ha observado que los actores de amenazas apuntan a la industria de la construcción infiltrándose en el software de contabilidad FUNDACIÓNsegún nuevos hallazgos de Huntress.
“Se ha observado que los atacantes fuerzan el software a escala y obtienen acceso simplemente usando las credenciales predeterminadas del producto”, dijo la compañía de ciberseguridad. dicho.
Los objetivos de esta amenaza emergente incluyen plomería, calefacción, ventilación y aire acondicionado (HVAC), concreto y otras subindustrias relacionadas.
El software FOUNDATION viene con un Microsoft SQL Server (MS SQL) para administrar las operaciones de la base de datos y, en algunos casos, tiene el puerto TCP 4243 abierto para acceder directamente a la base de datos a través de una aplicación móvil.
Huntress dijo que el servidor incluye dos cuentas con privilegios elevados, incluida “sa”, una cuenta de administrador del sistema predeterminada, y “dba”, una cuenta creada por FOUNDATION, que a menudo se dejan sin cambios con las credenciales predeterminadas.
Una consecuencia de esta acción es que los actores de amenazas podrían violar el servidor y explotar la opción de configuración xp_cmdshell para ejecutar comandos de shell arbitrarios.
“Es un procedimiento almacenado extendido que permite la ejecución de comandos del sistema operativo directamente desde SQL, permitiendo a los usuarios ejecutar comandos y scripts de shell como si tuvieran acceso directamente desde el símbolo del sistema”, señaló Huntress.
Huntress detectó los primeros signos de actividad el 14 de septiembre de 2024, con aproximadamente 35.000 intentos de inicio de sesión por fuerza bruta registrados en un servidor MS SQL en un host antes de lograr el acceso exitoso.
De los 500 hosts que ejecutan el software FOUNDATION en puntos finales protegidos por la empresa, se descubrió que 33 de ellos eran de acceso público con credenciales predeterminadas.
Para mitigar el riesgo que representan tales ataques, se recomienda rotar las credenciales de cuenta predeterminadas, dejar de exponer la aplicación a la Internet pública si es posible y desactivar la opción xp_cmdshell si corresponde.