Фахівці з кібербезпеки виявили нову хвилю атак, спрямованих на вразливі сервери бухгалтерського програмного забезпечення Foundation. Це ПЗ широко використовується в будівельній галузі, що робить цю кампанію особливо небезпечною для компаній цього сектору.
Хронологія та масштаби атак
За даними експертів компанії Huntress, перші ознаки вредоносної активності були зафіксовані 14 вересня 2024 року. З того часу кількість атак стрімко зросла, досягаючи 35 000 спроб на годину на окремих серверах. Серед постраждалих – підприємства, що спеціалізуються на сантехнічних роботах, опаленні, вентиляції, кондиціонуванні та виробництві бетону.
Механізм атаки: експлуатація слабких місць
Зловмисники використовують поширену проблему – недостатній захист привілейованих облікових записів. Багато користувачів нехтують зміною стандартних облікових даних та належним захистом серверів, що створює ідеальні умови для атак.
Вразливості Microsoft SQL Server
Foundation використовує Microsoft SQL Server (MSSQL), який може бути доступний через TCP-порт 4243 для підтримки мобільного додатку. Хакери проводять брутфорс-атаки на облікові записи MSSQL, зокрема на стандартні акаунти “sa” та “dba”, які часто мають слабкі або стандартні паролі.
Наслідки успішного проникнення
При отриманні доступу зловмисники активують функцію MSSQL xp_cmdshell, яка дозволяє виконувати команди операційної системи через SQL-запити. На даний момент атакуючі використовують дві основні команди:
- ipconfig – для отримання інформації про мережеву конфігурацію
- wmic – для збору даних про апаратне забезпечення, ОС та облікові записи користувачів
Масштаби вразливості
Дослідження Huntress виявило 500 хостів з встановленим ПЗ Foundation. З них 33 сервери мали бази даних MSSQL, доступні з стандартними обліковими даними адміністратора, що свідчить про серйозність проблеми.
Ця ситуація підкреслює критичну важливість дотримання базових правил кібербезпеки. Регулярна зміна паролів, використання складних комбінацій та обмеження доступу до критичних систем можуть значно знизити ризик успішних атак. Компаніям, що використовують ПЗ Foundation, рекомендується терміново перевірити налаштування безпеки своїх серверів та посилити захист привілейованих облікових записів.