De acordo com novas descobertas da Huntress, agentes de ameaças foram observados visando o setor de construção por meio da infiltração do software program de contabilidade FOUNDATION.
“Foi observado que invasores usaram força bruta no software program em grande escala e obtiveram acesso simplesmente usando as credenciais padrão do produto”, disse a empresa de segurança cibernética.
Os alvos da ameaça emergente incluem encanamento, HVAC (aquecimento, ventilação e ar condicionado), concreto e outras subindústrias relacionadas.
O software program FOUNDATION vem com um Microsoft SQL (MS SQL) Server para lidar com operações de banco de dados e, em alguns casos, tem a porta TCP 4243 aberta para acessar diretamente o banco de dados por meio de um aplicativo móvel.
Huntress disse que o servidor inclui duas contas com altos privilégios, incluindo “sa”, uma conta padrão de administrador do sistema, e “dba”, uma conta criada pela FOUNDATION, que geralmente são deixadas com credenciais padrão inalteradas.
Uma consequência dessa ação é que os agentes de ameaças podem usar força bruta no servidor e aproveitar a opção de configuração xp_cmdshell para executar comandos de shell arbitrários.
“Este é um procedimento armazenado estendido que permite a execução de comandos do sistema operacional diretamente do SQL, possibilitando que os usuários executem comandos de shell e scripts como se tivessem acesso direto do immediate de comando do sistema”, observou Huntress.
Os primeiros sinais da atividade foram detectados pela Huntress em 14 de setembro de 2024, com cerca de 35.000 tentativas de login de força bruta registradas em um servidor MS SQL em um host antes de obter acesso bem-sucedido.
Dos 500 hosts que executam o software program FOUNDATION nos endpoints protegidos pela empresa, 33 deles foram considerados acessíveis publicamente com credenciais padrão.
Para mitigar o risco representado por tais ataques, é recomendável alternar as credenciais da conta padrão, parar de expor o aplicativo na Web pública, se possível, e desabilitar a opção xp_cmdshell quando apropriado.
