Huntress araştırmacıları, inşaat sektöründeki firmaların, Foundation muhasebe yazılımını çalıştıran ve internete açık sunucular üzerinden hacker’ların saldırısına uğradığı konusunda uyarıyor.
“Tesisat, HVAC, beton ve benzeri alt sektörlerde aktif ihlaller görüyoruz” diye belirttiler.
Kurumsal ağlara giriş yolu
Ohio merkezli Foundation, inşaat sektöründeki şirketlere yönelik özel yazılım ürünleri ve hizmetleri geliştiriyor ve sağlıyor.
Huntress araştırmacıları, “Vakıf yazılımı, veritabanı işlemlerini yönetmek için bir Microsoft SQL Server (MSSQL) örneği içeriyor” şeklinde açıklama yaptı.
Ne yazık ki, kullanıcıların mobil uygulama üzerinden erişebilmesi için MSSQL örneğinin TCP 4243 portu üzerinden erişilebilir olması gerekiyor.
Kullanıcıların bazen varsayılan sistem yöneticisi hesabının (“sa”) ve mevcut bir “dba” hesabının varsayılan kimlik bilgilerini değiştirmemesi gerçeğiyle birleştiğinde, saldırganlar bu yüksek ayrıcalıklı hesaplara erişebilir ve bunları, xp_cmdkabuğu MSSQL içerisinde.
Araştırmacılar, “Bu, işletim sistemi komutlarının doğrudan SQL’den yürütülmesine izin veren genişletilmiş bir saklı yordamdır ve kullanıcıların sistem komut isteminden doğrudan erişimleri varmış gibi kabuk komutlarını ve betiklerini çalıştırmalarına olanak tanır” şeklinde belirttiler.
Saldırganların yaptığı da tam olarak budur: ya varsayılan kimlik bilgilerini kullanarak ya da söz konusu hesapların (değiştirilmiş) şifrelerini kaba kuvvetle ele geçirmeye çalışarak (ve bunu başararak).
“Bir ana bilgisayarda, MSSQL sunucusuna karşı ~35.000 kaba kuvvet giriş girişimi gözlemledik ve bu, başarılı bir kimlik doğrulama ve etkinleştirme işleminden sadece bir saat önce sona erdi. xp_cmdkabuğu Huntress araştırmacıları, “komutları çalıştırmak için” paylaştı.
Saldırganların erişim sağladıktan sonra, altta yatan ana bilgisayarda ek keşif faaliyetleri gerçekleştirdikleri gözlemlendi.
Ne yapalım?
Son raporlara göre, inşaat sektöründeki kuruluşlar giderek daha fazla fidye yazılımı saldırılarına maruz kalıyor.
Kaba kuvvet girişimleri “gürültülü” olsa da (yani günlükleri kontrol ederek tespit edilebilir ve/veya tanınabilir), varsayılan kimlik bilgileriyle erişim alarm zillerini tetiklemeyecektir.
Araştırmacılar, Foundation muhasebe yazılımını kullanan firmalara, söz konusu hesapların şifrelerini değiştirmelerini ve yeni şifreyi güçlü hale getirmelerini tavsiye ediyor.
“Mümkün olduğu yerde, Vakfın uygulamasının kamuya açık İnternet’e açılmasını durdurun ve devre dışı bırakın. xp_cmdkabuğu uygun olduğu durumlarda.”