网络安全:建筑公司会计软件遭受暴力攻击

黑客正在暴力破解基金会会计服务器上高权限账户的密码,这些账户广泛用于建筑行业,从而侵入企业网络。

这一恶意活动最先被 Huntress 发现,其研究人员于 2024 年 9 月 14 日检测到了此次攻击。

Huntress 已经发现这些攻击对管道、暖通空调、混凝土和其他子行业公司造成了严重破坏。

开放端口和弱密码

在这些攻击中,攻击者利用了暴露的服务组合,而用户没有更改特权帐户的默认凭据则放大了这种风险。

Foundation 软件包括一个 Microsoft SQL Server (MSSQL),可以将其配置为通过 TCP 端口 4243 公开访问,以支持配套的移动应用程序。

然而,这也使 Microsoft SQL 服务器暴露于外部攻击,这些攻击会尝试暴力破解服务器上配置的 MSSQL 帐户。

默认情况下,MSSQL 有一个名为"sa"的管理员帐户,而 Foundation 添加了第二个名为"dba"的帐户。

未更改这些账户默认密码的用户很容易受到外部攻击者的劫持。

那些更改了密码但选择了弱密码的用户仍可能通过暴力破解受到攻击。

Huntress 报告称,它观察到针对这些服务器的非常激进的暴力攻击,有时在一小时内对单个主机进行多达 35,000 次尝试,才成功猜出密码。

一旦攻击者获得访问权限,他们就会启用 MSSQL"xp_cmdshell"功能,这允许威胁行为者通过 SQL 查询在操作系统中执行命令。

例如, EXEC xp_cmdshell 'ipconfig'查询将导致ipconfig命令在 Windows 命令 shell 中执行,并且输出将显示在响应中。

SQL 服务器进程在 Windows 上生成 cmd 以执行命令

在攻击中观察到的两个命令是"ipconfig"(用于检索网络配置详细信息)和"wmic"(用于提取有关硬件、操作系统和用户帐户的信息)。

Huntress 对其保护的 300 万个端点进行的调查发现了 500 台运行目标会计软件的主机,其中 33 台公开了具有默认管理员凭据的 MSSQL 数据库。

它已经向 Foundation 通报了其发现,而该软件供应商回应称,该问题仅影响其应用程序的内部版本,而不影响其基于云的产品。

基金会还指出,并非所有服务器都开放了 4243 端口,并且并非所有目标帐户都使用相同的默认凭据。

Huntress 建议基金会管理员轮换账户凭证,并确保在不需要时不会公开 MSSQL 服务器。

相关推荐
速盾cdn1 小时前
速盾:高防CDN还有哪些冷知识?
网络·web安全
格调UI成品2 小时前
预警系统安全体系构建:数据加密、权限分级与误报过滤方案
大数据·运维·网络·数据库·安全·预警
Wallace Zhang4 小时前
STM32F103_Bootloader程序开发11 - 实现 App 安全跳转至 Bootloader
stm32·嵌入式硬件·安全
CertiK5 小时前
IBW 2025: CertiK首席商务官出席,探讨AI与Web3融合带来的安全挑战
人工智能·安全·web3
愚润求学6 小时前
【Linux】网络基础
linux·运维·网络
m0_738120726 小时前
玄机——某学校系统中挖矿病毒应急排查
网络·安全·web安全
帽儿山的枪手7 小时前
为什么Linux需要3种NAT地址转换?一探究竟
linux·网络协议·安全
yenggd9 天前
动态ds-vnp之normal和shortcut两种方式配置案例
网络·华为
leagsoft_10039 天前
联软科技入选《新质·中国数字安全百强(2025)》专业领域榜单,斩获“领先者”称号
科技·安全
浩浩测试一下9 天前
渗透测试指南(CS&&MSF):Windows 与 Linux 系统中的日志与文件痕迹清理
linux·运维·windows·安全·web安全·网络安全·系统安全