Οι χάκερ είναι κωδικοί πρόσβασης για εξαιρετικά προνομιούχους λογαριασμούς σε εκτεθειμένους διακομιστές λογιστικής του Foundation, που χρησιμοποιούνται ευρέως στον κατασκευαστικό κλάδο, για να παραβιάσουν τα εταιρικά δίκτυα.
Η κακόβουλη δραστηριότητα ήταν πρώτη εντόπισε η Huntressοι ερευνητές του οποίου εντόπισαν τις επιθέσεις στις 14 Σεπτεμβρίου 2024.
Η Huntress έχει ήδη δει ενεργές παραβιάσεις μέσω αυτών των επιθέσεων σε εταιρείες υδραυλικών εγκαταστάσεων, HVAC, σκυροδέματος και άλλες υποβιομηχανικές εταιρείες.
Ανοιχτές θύρες και αδύναμοι κωδικοί πρόσβασης
Σε αυτές τις επιθέσεις, οι εισβολείς εκμεταλλεύονται έναν συνδυασμό εκτεθειμένων υπηρεσιών που ενισχύονται από χρήστες που δεν αλλάζουν τα προεπιλεγμένα διαπιστευτήρια σε προνομιούχους λογαριασμούς.
Ο Huntress εξηγεί ότι το λογισμικό Foundation περιλαμβάνει έναν Microsoft SQL Server (MSSQL) που μπορεί να ρυθμιστεί ώστε να είναι δημόσια προσβάσιμος μέσω της θύρας TCP 4243 για να υποστηρίζει μια συνοδευτική εφαρμογή για κινητά.
Ωστόσο, αυτό εκθέτει επίσης τον διακομιστή Microsoft SQL σε εξωτερικές επιθέσεις που προσπαθούν να εξαναγκάσουν τους λογαριασμούς MSSQL που έχουν ρυθμιστεί στον διακομιστή.
Από προεπιλογή, το MSSQL έχει έναν λογαριασμό διαχειριστή με το όνομα ‘sa’ ενώ το Foundation έχει προσθέσει έναν δεύτερο με το όνομα ‘dba’.
Οι χρήστες που δεν έχουν αλλάξει τους προεπιλεγμένους κωδικούς πρόσβασης σε αυτούς τους λογαριασμούς είναι επιρρεπείς σε αεροπειρατεία από εξωτερικούς παράγοντες. Όσοι το έκαναν αλλά επέλεξαν αδύναμους κωδικούς πρόσβασης ενδέχεται να εξακολουθήσουν να παραβιάζονται μέσω ωμής επιβολής.
Η Huntress αναφέρει ότι παρατήρησε πολύ επιθετικές επιθέσεις ωμής βίας εναντίον αυτών των διακομιστών, που μερικές φορές έφταναν έως και τις 35.000 προσπάθειες σε έναν κεντρικό υπολογιστή σε διάστημα μιας ώρας προτού μαντέψουν με επιτυχία έναν κωδικό πρόσβασης.
Μόλις οι εισβολείς αποκτήσουν πρόσβαση, ενεργοποιούν τη δυνατότητα MSSQL ‘xp_cmdshell’, η οποία επιτρέπει στους παράγοντες απειλής να εκτελούν εντολές στο λειτουργικό σύστημα μέσω ενός ερωτήματος SQL.
Για παράδειγμα, το EXEC xp_cmdshell 'ipconfig' το ερώτημα θα προκαλέσει το ipconfig εντολή που θα εκτελεστεί σε ένα κέλυφος εντολών των Windows και η έξοδος θα εμφανίζεται στην απόκριση.
Πηγή: Huntress
Δύο εντολές που παρατηρούνται στις επιθέσεις είναι η ‘ipconfig’ για την ανάκτηση λεπτομερειών διαμόρφωσης δικτύου και η ‘wmic’ για την εξαγωγή πληροφοριών σχετικά με το υλικό, το λειτουργικό σύστημα και τους λογαριασμούς χρηστών.
Η έρευνα της Huntress από τα τρία εκατομμύρια τελικά σημεία υπό την προστασία της αποκάλυψε 500 κεντρικούς υπολογιστές που εκτελούσαν το στοχευμένο λογισμικό λογιστικής, 33 εκ των οποίων εκτέθηκαν δημόσια βάσεις δεδομένων MSSQL με προεπιλεγμένα διαπιστευτήρια διαχειριστή.
Η Huntress είπε στο BleepingComputer ότι είχε ειδοποιήσει το Foundation για τα ευρήματά του και ο πωλητής λογισμικού απάντησε λέγοντας ότι το ζήτημα επηρέασε μόνο την έκδοση εσωτερικής εγκατάστασης της εφαρμογής του και όχι το προϊόν που βασίζεται στο cloud.
Το Foundation σημείωσε επίσης ότι δεν έχουν όλοι οι διακομιστές ανοιχτή η θύρα 4243 και δεν χρησιμοποιούν όλοι οι στοχευμένοι λογαριασμοί τα ίδια προεπιλεγμένα διαπιστευτήρια.
Η Huntress συνιστά στους διαχειριστές του Ιδρύματος να εναλλάσσουν τα διαπιστευτήρια λογαριασμού και να διασφαλίζουν ότι δεν εκθέτουν δημόσια τον διακομιστή MSSQL, εάν δεν χρειάζεται.
VIA: bleepingcomputer.com
