黑客利用 FOUNDATION 软件中的默认凭证入侵建筑公司

根据 Huntress 的最新发现，威胁行为者已通过渗透FOUNDATION 会计软件将目标对准了建筑行业。

该网络安全公司表示：“据观察，攻击者大规模暴力破解该软件，并仅通过使用产品的默认凭证即可获得访问权限。”

新兴威胁的目标包括管道、暖通空调（供暖、通风和空调）、混凝土和其他相关子行业。

FOUNDATION 软件配备 Microsoft SQL（MS SQL）服务器来处理数据库操作，并且在某些情况下，打开 TCP 端口 4243 以通过移动应用程序直接访问数据库。

亨特雷斯表示，该服务器包含两个高权限账户，包括默认系统管理员账户“sa”和基金会创建的账户“dba”，这些账户通常保留不变的默认凭据。

此操作的后果是，威胁行为者可以暴力破解服务器并利用xp_cmdshell 配置选项来运行任意 shell 命令。

Huntress 指出：“这是一个扩展的存储过程，允许直接从 SQL 执行操作系统命令，使用户能够运行 shell 命令和脚本，就像他们可以直接从系统命令提示符访问一样。”

2024 年 9 月 14 日，Huntress 首次检测到该活动的迹象，在成功访问之前，对一台主机上的 MS SQL 服务器记录了大约 35,000 次暴力登录尝试。

在该公司保护的端点上运行 FOUNDATION 软件的 500 台主机中，发现有 33 台可通过默认凭据公开访问。

为了减轻此类攻击带来的风险，建议轮换默认帐户凭据，尽可能停止在公共互联网上公开应用程序，并在适当的情况下禁用 xp_cmdshell 选项。