Bruteforce para invadir Software FOUNDATION
20 de Setembro de 2024

Agentes de ameaças têm sido observados visando o setor da construção civil ao infiltrarem-se no software de contabilidade FOUNDATION, conforme novas descobertas da Huntress.

“Atacantes foram vistos realizando brute-force no software em grande escala, e conseguindo acesso simplesmente utilizando as credenciais padrão do produto,” disse a empresa de cibersegurança.

Os alvos da ameaça emergente incluem encanamento, HVAC (aquecimento, ventilação e ar condicionado), concreto e outras subindústrias relacionadas.

O software FOUNDATION vem com um servidor Microsoft SQL (MS SQL) para lidar com operações de banco de dados e, em alguns casos, tem a porta TCP 4243 aberta para acesso direto ao banco de dados via um aplicativo móvel.

A Huntress disse que o servidor inclui duas contas de altos privilégios, incluindo "sa", uma conta padrão de administrador do sistema, e "dba", uma conta criada pelo FOUNDATION, que muitas vezes são deixadas com credenciais padrões inalteradas.

Uma consequência dessa ação é que agentes de ameaças poderiam realizar brute-force no servidor e explorar a opção de configuração xp_cmdshell para executar comandos shell arbitrários.

“Essa é uma stored procedure estendida que permite a execução de comandos do OS diretamente do SQL, possibilitando aos usuários rodar comandos shell e scripts como se tivessem acesso direto do prompt de comando do sistema,” observou a Huntress.

Os primeiros sinais da atividade foram detectados pela Huntress em 14 de setembro de 2024, com cerca de 35.000 tentativas de login via brute-force registradas contra um servidor MS SQL em um único host antes de conseguir acesso bem-sucedido.

Dos 500 hosts rodando o software FOUNDATION nos endpoints protegidos pela empresa, 33 deles foram encontrados como publicamente acessíveis com credenciais padrões.

Para mitigar o risco apresentado por tais ataques, é recomendável rotacionar credenciais de contas padrões, cessar a exposição da aplicação na internet pública se possível, e desabilitar a opção xp_cmdshell onde apropriado.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...