В сфере кибербезопасности возникла новая угроза, нацеленная на строительную индустрию. Эксперты обнаружили масштабную кампанию по взлому серверов с бухгалтерским программным обеспечением Foundation, широко используемым в строительном секторе. Злоумышленники эксплуатируют слабые места в конфигурации серверов и проводят брутфорс-атаки на привилегированные учетные записи.
Детали атаки: Как работает эксплойт
Специалисты компании Huntress зафиксировали начало вредоносной активности 14 сентября 2024 года. Атаки направлены на уязвимые серверы Microsoft SQL Server (MSSQL), входящие в состав ПО Foundation. Ключевой вектор атаки — открытый TCP-порт 4243, который обычно используется для поддержки мобильного приложения Foundation.
Злоумышленники проводят агрессивные брутфорс-атаки, пытаясь подобрать пароли к учетным записям администратора MSSQL. Особое внимание уделяется стандартным аккаунтам «sa» и «dba», которые часто оставляют с паролями по умолчанию или слабой защитой. По данным Huntress, интенсивность атак достигает 35 000 попыток в час на один хост.
Последствия успешного взлома
При успешном получении доступа хакеры активируют функцию MSSQL xp_cmdshell, позволяющую выполнять команды операционной системы через SQL-запросы. На данный момент зафиксировано использование двух команд:
- ipconfig — для получения информации о сетевой конфигурации
- wmic — для сбора данных об аппаратном обеспечении, операционной системе и пользовательских аккаунтах
Эти действия указывают на то, что злоумышленники находятся на стадии разведки, собирая информацию о скомпрометированных системах для дальнейших, потенциально более опасных атак.
Масштаб проблемы и уязвимые цели
Исследование Huntress выявило 500 хостов с установленным ПО Foundation, из которых 33 сервера MSSQL были доступны с учетными данными администратора по умолчанию. Среди пострадавших компаний — предприятия, специализирующиеся на сантехнике, отоплении, вентиляции, кондиционировании и производстве бетона.
Рекомендации по защите
Для минимизации рисков компаниям, использующим ПО Foundation, настоятельно рекомендуется:
- Немедленно изменить пароли для всех привилегированных учетных записей
- Внедрить политику сложных паролей и регулярной их смены
- Ограничить доступ к серверам MSSQL, используя брандмауэры и VPN
- Регулярно обновлять программное обеспечение и устанавливать патчи безопасности
- Проводить аудит безопасности и мониторинг сетевой активности
Данная ситуация подчеркивает критическую важность базовых принципов кибербезопасности даже для специализированного отраслевого ПО. Компаниям строительного сектора необходимо уделить повышенное внимание защите своих информационных систем, чтобы предотвратить потенциальные финансовые потери и утечку конфиденциальных данных.
