黑客正在暴力破解基金会会计服务器上高权限账户的密码,这些账户广泛用于建筑行业,从而侵入企业网络。
这一恶意活动最先被 Huntress 发现,其研究人员于 2024 年 9 月 14 日检测到了此次攻击。
Huntress 已经发现这些攻击对管道、暖通空调、混凝土和其他子行业公司造成了严重破坏。
开放端口和弱密码
在这些攻击中,攻击者利用了暴露的服务组合,而用户没有更改特权帐户的默认凭据则放大了这种风险。
Foundation 软件包括一个 Microsoft SQL Server (MSSQL),可以将其配置为通过 TCP 端口 4243 公开访问,以支持配套的移动应用程序。
然而,这也使 Microsoft SQL 服务器暴露于外部攻击,这些攻击会尝试暴力破解服务器上配置的 MSSQL 帐户。
默认情况下,MSSQL 有一个名为“sa”的管理员帐户,而 Foundation 添加了第二个名为“dba”的帐户。
未更改这些账户默认密码的用户很容易受到外部攻击者的劫持。
那些更改了密码但选择了弱密码的用户仍可能通过暴力破解受到攻击。
Huntress 报告称,它观察到针对这些服务器的非常激进的暴力攻击,有时在一小时内对单个主机进行多达 35,000 次尝试,才成功猜出密码。
一旦攻击者获得访问权限,他们就会启用 MSSQL“xp_cmdshell”功能,这允许威胁行为者通过 SQL 查询在操作系统中执行命令。
例如, EXEC xp_cmdshell 'ipconfig'查询将导致ipconfig命令在 Windows 命令 shell 中执行,并且输出将显示在响应中。
SQL 服务器进程在 Windows 上生成 cmd 以执行命令
在攻击中观察到的两个命令是“ipconfig”(用于检索网络配置详细信息)和“wmic”(用于提取有关硬件、操作系统和用户帐户的信息)。
Huntress 对其保护的 300 万个端点进行的调查发现了 500 台运行目标会计软件的主机,其中 33 台公开了具有默认管理员凭据的 MSSQL 数据库。
它已经向 Foundation 通报了其发现,而该软件供应商回应称,该问题仅影响其应用程序的内部版本,而不影响其基于云的产品。
基金会还指出,并非所有服务器都开放了 4243 端口,并且并非所有目标帐户都使用相同的默认凭据。
Huntress 建议基金会管理员轮换账户凭证,并确保在不需要时不会公开 MSSQL 服务器。