网络安全:建筑公司会计软件遭受暴力攻击

黑客正在暴力破解基金会会计服务器上高权限账户的密码,这些账户广泛用于建筑行业,从而侵入企业网络。

这一恶意活动最先被 Huntress 发现,其研究人员于 2024 年 9 月 14 日检测到了此次攻击。

Huntress 已经发现这些攻击对管道、暖通空调、混凝土和其他子行业公司造成了严重破坏。

开放端口和弱密码

在这些攻击中,攻击者利用了暴露的服务组合,而用户没有更改特权帐户的默认凭据则放大了这种风险。

Foundation 软件包括一个 Microsoft SQL Server (MSSQL),可以将其配置为通过 TCP 端口 4243 公开访问,以支持配套的移动应用程序。

然而,这也使 Microsoft SQL 服务器暴露于外部攻击,这些攻击会尝试暴力破解服务器上配置的 MSSQL 帐户。

默认情况下,MSSQL 有一个名为"sa"的管理员帐户,而 Foundation 添加了第二个名为"dba"的帐户。

未更改这些账户默认密码的用户很容易受到外部攻击者的劫持。

那些更改了密码但选择了弱密码的用户仍可能通过暴力破解受到攻击。

Huntress 报告称,它观察到针对这些服务器的非常激进的暴力攻击,有时在一小时内对单个主机进行多达 35,000 次尝试,才成功猜出密码。

一旦攻击者获得访问权限,他们就会启用 MSSQL"xp_cmdshell"功能,这允许威胁行为者通过 SQL 查询在操作系统中执行命令。

例如, EXEC xp_cmdshell 'ipconfig'查询将导致ipconfig命令在 Windows 命令 shell 中执行,并且输出将显示在响应中。

SQL 服务器进程在 Windows 上生成 cmd 以执行命令

在攻击中观察到的两个命令是"ipconfig"(用于检索网络配置详细信息)和"wmic"(用于提取有关硬件、操作系统和用户帐户的信息)。

Huntress 对其保护的 300 万个端点进行的调查发现了 500 台运行目标会计软件的主机,其中 33 台公开了具有默认管理员凭据的 MSSQL 数据库。

它已经向 Foundation 通报了其发现,而该软件供应商回应称,该问题仅影响其应用程序的内部版本,而不影响其基于云的产品。

基金会还指出,并非所有服务器都开放了 4243 端口,并且并非所有目标帐户都使用相同的默认凭据。

Huntress 建议基金会管理员轮换账户凭证,并确保在不需要时不会公开 MSSQL 服务器。

相关推荐
黑客Ash29 分钟前
【D01】网络安全概论
网络·安全·web安全·php
->yjy30 分钟前
计算机网络(第一章)
网络·计算机网络·php
摘星星ʕ•̫͡•ʔ2 小时前
计算机网络 第三章:数据链路层(关于争用期的超详细内容)
网络·计算机网络
阿龟在奔跑2 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang2 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang2 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
好想打kuo碎3 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全
周全全3 小时前
Spring Boot + Vue 基于 RSA 的用户身份认证加密机制实现
java·vue.js·spring boot·安全·php