Cybersicherheitsexperten haben eine alarmierende Entwicklung aufgedeckt: Hacker führen massive Brute-Force-Angriffe auf privilegierte Konten ungeschützter Server durch, die die in der Baubranche weit verbreitete Foundation-Buchhaltungssoftware nutzen. Diese gezielte Kampagne stellt eine ernsthafte Bedrohung für Unternehmen dar, die in Bereichen wie Sanitär, Heizung, Lüftung, Klimatechnik und Betonherstellung tätig sind.
Chronologie und Ausmaß der Angriffe
Laut Sicherheitsforschern des Unternehmens Huntress wurde die bösartige Aktivität erstmals am 14. September 2024 entdeckt. Seitdem wurden bereits mehrere erfolgreiche Einbrüche im Zusammenhang mit dieser Kampagne dokumentiert. Die Angreifer nutzen dabei gezielt Schwachstellen aus, die durch mangelhafte Sicherheitspraktiken der Nutzer entstehen.
Technische Details der Sicherheitslücke
Im Zentrum der Angriffe steht der Microsoft SQL Server (MSSQL), der Bestandteil der Foundation-Software ist. Dieser Server ist häufig über den TCP-Port 4243 öffentlich zugänglich, um die Funktionalität einer zugehörigen mobilen App zu unterstützen. Diese Konfiguration öffnet jedoch Tür und Tor für externe Angriffe auf die MSSQL-Server.
Besonders kritisch ist, dass viele Nutzer die Standard-Anmeldedaten für privilegierte Konten nicht ändern. MSSQL verfügt standardmäßig über ein Administratorkonto mit dem Namen „sa“, während Foundation ein zusätzliches Konto namens „dba“ einrichtet. Bleiben die voreingestellten Passwörter unverändert oder werden durch schwache Alternativen ersetzt, bieten sie Angreifern einen leichten Angriffspunkt.
Aggressive Brute-Force-Taktiken
Die Intensität der Angriffe ist besorgniserregend. Huntress berichtet von äußerst aggressiven Brute-Force-Attacken mit bis zu 35.000 Anmeldeversuchen pro Stunde auf einzelnen Hosts. Diese Methode zielt darauf ab, durch systematisches Durchprobieren die korrekten Anmeldedaten zu ermitteln.
Post-Exploitation-Aktivitäten
Nach erfolgreicher Kompromittierung aktivieren die Angreifer die MSSQL-Funktion xp_cmdshell. Diese ermöglicht die Ausführung von Betriebssystembefehlen über SQL-Abfragen. Bisher konzentrierten sich die Hacker auf zwei Hauptbefehle:
- ipconfig: Zur Erfassung von Netzwerkkonfigurationsdaten
- wmic: Zum Sammeln von Informationen über Hardware, Betriebssystem und Benutzerkonten
Umfang der Bedrohung
Die Untersuchungen von Huntress ergaben, dass von 500 identifizierten Hosts mit installierter Foundation-Software 33 MSSQL-Datenbanken mit Standard-Administratoranmeldedaten zugänglich waren. Diese Statistik unterstreicht die Dringlichkeit verbesserter Sicherheitsmaßnahmen in der Branche.
Angesichts der Schwere dieser Bedrohung ist es für Unternehmen in der Baubranche unerlässlich, ihre IT-Sicherheit zu überprüfen und zu verstärken. Dies umfasst die Änderung von Standardpasswörtern, die Implementierung von Zwei-Faktor-Authentifizierung und die regelmäßige Aktualisierung von Software und Sicherheitsprotokollen. Nur durch proaktives Handeln können Unternehmen ihre sensiblen Daten und Systeme vor solch gezielten Cyberangriffen schützen.
