19 de septiembre de 2024Ravie Lakshmanan Ciberataque/piratería
Una nueva investigación de Huntress confirma que los actores de amenazas se dirigen a la industria de la construcción al infiltrarse en el software de contabilidad de FOUNDATION.
“Hemos observado a atacantes realizando ataques de fuerza bruta a gran escala contra software y obteniendo acceso simplemente utilizando las credenciales predeterminadas del producto”, dijo la firma de ciberseguridad.
Los nuevos objetivos de amenaza incluyen plomería, HVAC (calefacción, ventilación y aire acondicionado), concreto y otras subindustrias relacionadas.
El software FOUNDATION viene con el servidor Microsoft SQL (MS SQL) para manejar las operaciones de la base de datos y, en algunos casos, tiene el puerto TCP 4243 abierto para acceso directo a la base de datos a través de la aplicación móvil.
Según Huntress, el servidor contiene dos cuentas con altos privilegios: “sa”, la cuenta de administrador del sistema predeterminada, y “dba”, una cuenta creada por FOUNDATION. Se dice que la información de autenticación a menudo no se modifica.
Esta acción permite a un actor de amenazas aplicar fuerza bruta al servidor y ejecutar comandos de shell arbitrarios aprovechando las opciones de configuración de xp_cmdshell.
“Este es un procedimiento almacenado extendido que le permite ejecutar comandos del sistema operativo directamente desde SQL, lo que permite a los usuarios ejecutar comandos de shell y scripts como si fueran directamente accesibles desde el símbolo del sistema”, señala Huntress.
Huntress detectó la primera señal de esta actividad el 14 de septiembre de 2024, cuando se registraron aproximadamente 35.000 intentos de inicio de sesión por fuerza bruta en servidores MS SQL en un solo host antes de que Ta pudiera acceder con éxito.
De los 500 hosts que ejecutan el software FOUNDATION en los puntos finales que protegen, se descubrió que 33 eran de acceso público con credenciales predeterminadas.
Para reducir el riesgo de tales ataques, recomendamos rotar las credenciales de cuenta predeterminadas, evitar exponer aplicaciones a través de Internet público si es posible y desactivar la opción xp_cmdshell si es necesario.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/hackers-exploit-default-credentials-in.html
