Bedrohungsakteure haben laut neuen Erkenntnissen von Huntress den Bausektor ins Visier genommen, indem sie die Buchhaltungssoftware FOUNDATION infiltriert haben.
„Es wurde beobachtet, dass Angreifer die Software massenhaft mit Brute-Force-Angriffen angreifen und sich Zugriff verschaffen, indem sie einfach die Standardanmeldedaten des Produkts verwenden“, so das Cybersicherheitsunternehmen.
Zu den Zielen der neuen Bedrohung gehören Sanitär-, HLK- (Heizung, Lüftung und Klima), Beton- und andere verwandte Teilbranchen.
Die FOUNDATION-Software wird mit einem Microsoft SQL (MS SQL)-Server geliefert, der Datenbankoperationen abwickelt, und hat in einigen Fällen den TCP-Port 4243 geöffnet, um über eine mobile App direkt auf die Datenbank zuzugreifen.
Huntress zufolge enthält der Server zwei hochprivilegierte Konten, darunter „sa“, ein Standardkonto für Systemadministratoren, und „dba“, ein von FOUNDATION erstelltes Konto, deren Standardanmeldedaten oft unverändert bleiben.
Eine Folge dieser Aktion ist, dass Bedrohungsakteure den Server per Brute-Force angreifen und die Konfigurationsoption xp_cmdshell nutzen könnten, um beliebige Shell-Befehle auszuführen.
„Dies ist eine erweiterte gespeicherte Prozedur, die die Ausführung von Betriebssystembefehlen direkt aus SQL ermöglicht, sodass Benutzer Shell-Befehle und Skripte ausführen können, als hätten sie direkt von der Systembefehlszeile aus Zugriff“, so Huntress.
Erste Anzeichen für diese Aktivität wurden von Huntress am 14. September 2024 entdeckt, wobei etwa 35.000 Brute-Force-Anmeldeversuche an einem MS SQL-Server auf einem Host registriert wurden, bevor der Zugriff erfolgreich war.
Von den 500 Hosts, auf denen die FOUNDATION-Software auf den von dem Unternehmen geschützten Endpunkten läuft, waren 33 öffentlich zugänglich und verfügten über Standardanmeldedaten.
Um das Risiko solcher Angriffe zu verringern, wird empfohlen, die Standardanmeldedaten der Konten zu ändern, die Anwendung nicht mehr über das öffentliche Internet zugänglich zu machen, falls dies möglich ist, und die Option xp_cmdshell zu deaktivieren, sofern dies angebracht ist.