网络安全:建筑公司会计软件遭受暴力攻击

黑客正在暴力破解基金会会计服务器上高权限账户的密码,这些账户广泛用于建筑行业,从而侵入企业网络。

这一恶意活动最先被 Huntress 发现,其研究人员于 2024 年 9 月 14 日检测到了此次攻击。

Huntress 已经发现这些攻击对管道、暖通空调、混凝土和其他子行业公司造成了严重破坏。

开放端口和弱密码

在这些攻击中,攻击者利用了暴露的服务组合,而用户没有更改特权帐户的默认凭据则放大了这种风险。

Foundation 软件包括一个 Microsoft SQL Server (MSSQL),可以将其配置为通过 TCP 端口 4243 公开访问,以支持配套的移动应用程序。

然而,这也使 Microsoft SQL 服务器暴露于外部攻击,这些攻击会尝试暴力破解服务器上配置的 MSSQL 帐户。

默认情况下,MSSQL 有一个名为"sa"的管理员帐户,而 Foundation 添加了第二个名为"dba"的帐户。

未更改这些账户默认密码的用户很容易受到外部攻击者的劫持。

那些更改了密码但选择了弱密码的用户仍可能通过暴力破解受到攻击。

Huntress 报告称,它观察到针对这些服务器的非常激进的暴力攻击,有时在一小时内对单个主机进行多达 35,000 次尝试,才成功猜出密码。

一旦攻击者获得访问权限,他们就会启用 MSSQL"xp_cmdshell"功能,这允许威胁行为者通过 SQL 查询在操作系统中执行命令。

例如, EXEC xp_cmdshell 'ipconfig'查询将导致ipconfig命令在 Windows 命令 shell 中执行,并且输出将显示在响应中。

SQL 服务器进程在 Windows 上生成 cmd 以执行命令

在攻击中观察到的两个命令是"ipconfig"(用于检索网络配置详细信息)和"wmic"(用于提取有关硬件、操作系统和用户帐户的信息)。

Huntress 对其保护的 300 万个端点进行的调查发现了 500 台运行目标会计软件的主机,其中 33 台公开了具有默认管理员凭据的 MSSQL 数据库。

它已经向 Foundation 通报了其发现,而该软件供应商回应称,该问题仅影响其应用程序的内部版本,而不影响其基于云的产品。

基金会还指出,并非所有服务器都开放了 4243 端口,并且并非所有目标帐户都使用相同的默认凭据。

Huntress 建议基金会管理员轮换账户凭证,并确保在不需要时不会公开 MSSQL 服务器。

相关推荐
张北涛25 分钟前
交换机详细
运维·服务器·网络
IT199530 分钟前
Wireshark笔记-DHCP两步交互流程与数据解析
网络·笔记·wireshark
Zero_Era32 分钟前
LKT4202UGM重新定义物联网设备安全标准
物联网·安全·嵌入式
中科固源35 分钟前
低空飞行安全“把关人”,MH/T 4055.3-2022 测试标准深度解读
安全·低空安全
老马啸西风1 小时前
sensitive-word 敏感词性能提升14倍优化全过程 v0.28.0
安全·开源·nlp·word·敏感词·sensitive-word
小马哥编程1 小时前
计算机网络:网络设备在OSI七层模型中的工作层次和传输协议
网络·计算机网络·智能路由器
学会煎墙1 小时前
3分钟快速入门WebSocket
网络·websocket·网络协议
白堤上的喵2 小时前
信息安全基础知识
网络
赖龙2 小时前
记录SSL部署,链路不完整问题
网络·网络协议·ssl
fatiaozhang95273 小时前
浪潮CD1000-移动云电脑-RK3528芯片-2+32G-安卓9-2种开启ADB ROOT刷机教程方法
android·网络·adb·电脑·电视盒子·刷机固件·机顶盒刷机