Bilgisayar Korsanları FOUNDATION Yazılımındaki Varsayılan Kimlik Bilgilerini Kullanarak İnşaat Şirketlerine Saldırıyor


19 Eylül 2024Ravie LakshmananSiber Saldırı / Hackleme

İnşaat Firmaları

Huntress’ın yeni bulgularına göre, tehdit aktörlerinin FOUNDATION Muhasebe Yazılımı’na sızarak inşaat sektörünü hedef aldığı gözlemlendi.

Siber güvenlik şirketi, “Saldırganların yazılımı büyük ölçekte zorla ele geçirdikleri ve yalnızca ürünün varsayılan kimlik bilgilerini kullanarak erişim sağladıkları gözlemlendi” dedi.

Ortaya çıkan tehdidin hedefleri arasında sıhhi tesisat, HVAC (ısıtma, havalandırma ve klima), beton ve diğer ilgili alt endüstriler yer alıyor.

FOUNDATION yazılımı, veritabanı işlemlerini gerçekleştirmek için bir Microsoft SQL (MS SQL) Sunucusu ile birlikte gelir ve bazı durumlarda, mobil uygulama aracılığıyla veritabanına doğrudan erişim sağlamak için 4243 numaralı TCP portunu açar.

Huntress, sunucuda “sa” adlı varsayılan sistem yöneticisi hesabı ve FOUNDATION tarafından oluşturulan “dba” adlı hesap olmak üzere iki adet yüksek ayrıcalıklı hesap bulunduğunu ve bunların genellikle varsayılan kimlik bilgileri değiştirilmeden bırakıldığını söyledi.

Siber Güvenlik

Bu eylemin bir sonucu olarak, tehdit aktörleri sunucuya kaba kuvvet uygulayabilir ve xp_cmdshell yapılandırma seçeneğini kullanarak keyfi kabuk komutlarını çalıştırabilir.

Huntress, “Bu, işletim sistemi komutlarının doğrudan SQL’den yürütülmesine olanak tanıyan genişletilmiş bir saklı yordamdır ve kullanıcıların sistem komut isteminden doğrudan erişimleri varmış gibi kabuk komutlarını ve betiklerini çalıştırmalarına olanak tanır” dedi.

Faaliyetin ilk belirtileri Huntress tarafından 14 Eylül 2024’te tespit edildi ve başarılı bir erişim elde edilmeden önce bir ana bilgisayardaki MS SQL sunucusuna karşı yaklaşık 35.000 kaba kuvvet giriş girişimi kaydedildi.

Şirketin koruduğu uç noktalarda FOUNDATION yazılımını çalıştıran 500 ana bilgisayardan 33’ünün varsayılan kimlik bilgileriyle herkese açık olarak erişilebilir olduğu tespit edildi.

Bu tür saldırıların oluşturduğu riski azaltmak için varsayılan hesap kimlik bilgilerini değiştirmeniz, mümkünse uygulamayı genel internet üzerinden kullanıma açmamanız ve uygun durumlarda xp_cmdshell seçeneğini devre dışı bırakmanız önerilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link