Dalış Özeti:
- Ellicott City, Maryland merkezli siber güvenlik firması Huntress ortaya çıkan bir tehdit keşfetti Kendisini ülke çapında 43.000 inşaat profesyoneli olarak tanıtan Foundation Software kullanıcıları için. Huntress, 17 Eylül tarihli bir raporda tesisat, HVAC, beton ve benzeri alt yüklenicilerin aktif olarak etkilendiğini söyledi.
- Huntress, saldırıyı, faillerin kimlik bilgilerini veya diğer hassas bilgileri tahmin etmek için otomatik bir deneme yanılma motoru kullandığı bir “kaba kuvvet” saldırısı olarak tanımladı. Huntress’e göre, etkilenen şirketler saldırı sırasında varsayılan kimlik bilgilerini kullanıyordu; yani, yazılım satın alındığında yazılımla birlikte gelen ve kurulum sırasında değiştirilmesi gereken kullanıcı adları ve parolalar.
- Rapora göre Huntress, müşterileri için izlediği 3 milyondan fazla uç noktadan Foundation yazılımını çalıştıran yaklaşık 500 ana bilgisayar keşfetti. Şirket, bu havuzdan, 33 ana bilgisayar örneğinin değiştirilmemiş varsayılan kimlik bilgileriyle herkese açık olarak ifşa edildiğini doğruladı. Etkilenen bir ana bilgisayarda, 35.000’den fazla kaba kuvvet oturum açma girişimi gözlemledi.
Dalış İçgörüsü:
Foundation, Construction Dive’a yaptığı açıklamada, Huntress raporundaki bazı bilgilerin yanlış olduğunu ve etkilenen kullanıcıların, Foundation’ın barındırdığı ortam yerine, kendi şirketlerinde fiziksel olarak kurulu eski yazılımları kullanan müşterilerle sınırlı olduğunu söyledi.
Vakfın CEO’su Mike Ode, etkilenen müşterilerin kullanıcı kimliği ve şifrelerini değiştirme protokolünü takip etmediğini belirterek, şirketin müşterilerinin büyük çoğunluğunu yazılım hizmeti teklifi aracılığıyla ağırladığını belirtti.
“Bir yazılım satın alıp kendi yerinize kurarsanız, güvenlikten, duvarlardan ve çevreden siz sorumlusunuz, değil mi?” dedi Ode Construction Dive’a. “Biz son on yıldır sattığımız şeyden sorumluyuz ve bu da barındırılan bir çözüm.”
Etkilenen firmaları bunun yerine barındırılan yazılımları benimsemeye çağırdı.
“SaaS barındırılan ortamımızda herkesi istiyoruz, değil mi? Bırakın biz yapalım. Sorumluluğu biz üstlenelim,” dedi Ode. Raporda bahsedilen saldırının sadece tek bir istemciyi etkilemiş olabileceğini iddia etti, ancak kesin olarak bilmediğini kabul etti.
Riskler
ABD Siber Güvenlik ve Altyapı Ajansı, varsayılan parola kullanımının önemli bir siber güvenlik sorunu olduğunu belirterek kuruluşları bunları sıfırlamaya çağırdı.
Huntress’teki baş güvenlik araştırmacısı John Hammond, saldırılar gerçekleşmiş olsa da bu bilgisayarlarda herhangi bir uzlaşma veya kötü niyetli faaliyet olmadığını söyledi. Hammond, yazılımı kullanan yüklenicilerin kendilerini korumak için parolalar da dahil olmak üzere kimlik bilgilerini değiştirmeleri gerektiğini söyledi.
Huntress, Foundation’ın yazılımında Microsoft SQL kullandığını belirtti. Birleştirilmiş platformlar, sistem içinde “sa” ve “dba” olarak adlandırılan iki yüksek ayrıcalıklı yönetim hesabına sahiptir. Varsayılan kimlik bilgileri kurulum sırasında değiştirilmezse, failler yazılıma kolayca girebilir.
İletişime geçildiğinde Microsoft, Construction Dive’ı şu şekilde yönlendirdi: SQL güvenliği en iyi uygulamaları web sayfası.
Hammond, bir bilgisayar korsanı için, Foundation’ın yazılımının etkilenen örneklerine erişmek için gereken çabayı “önemsiz” olarak nitelendirdi ve bunu bir parola yazmaya benzetti.
Hammond, “Bir tehdit aktörü şirket içi bir Foundation sunucusu bulduğunda, veritabanı yöneticisi olarak kimlik doğrulaması yapabilir ve tüm bilgisayarda istediklerini yapmak için yeni ayarları etkinleştirebilir,” dedi. “Açıkçası, oturum açmak için sadece bir komut yeterli ve gerçek hasar vermek için sadece iki komut daha.”
Hammond, kötü niyetli kişilerin kimlik bilgileri veya finansal detaylar gibi hassas bilgilere erişebileceğini ve bilgisayarın kendisine de erişebileceğini söyledi.
Hammond, Construction Dive’a e-posta yoluyla “Bu, yönetici ayrıcalıklarının hemen başladığı bir ağın tamamına bir dayanak noktası ve ilk erişim vektörü,” dedi. “Bazı durumlarda SQL sunucusunun doğrudan bir kuruluşun etki alanı denetleyicisine yüklendiğini gözlemledik, bu da tüm ortam için krallığın anında anahtarları olduğu anlamına geliyor.”
Hammond, SQL sunucularını korumak için sunucuya ihtiyaç duyulmadığında erişimin sınırlandırılmasını, varsayılan parolaların güvenli kimlik bilgileriyle değiştirilmesini ve gereksiz bileşenlerin işlevselliğinin kısıtlanmasını önerdi.