网络安全:建筑公司会计软件遭受暴力攻击

黑客正在暴力破解基金会会计服务器上高权限账户的密码,这些账户广泛用于建筑行业,从而侵入企业网络。

这一恶意活动最先被 Huntress 发现,其研究人员于 2024 年 9 月 14 日检测到了此次攻击。

Huntress 已经发现这些攻击对管道、暖通空调、混凝土和其他子行业公司造成了严重破坏。

开放端口和弱密码

在这些攻击中,攻击者利用了暴露的服务组合,而用户没有更改特权帐户的默认凭据则放大了这种风险。

Foundation 软件包括一个 Microsoft SQL Server (MSSQL),可以将其配置为通过 TCP 端口 4243 公开访问,以支持配套的移动应用程序。

然而,这也使 Microsoft SQL 服务器暴露于外部攻击,这些攻击会尝试暴力破解服务器上配置的 MSSQL 帐户。

默认情况下,MSSQL 有一个名为"sa"的管理员帐户,而 Foundation 添加了第二个名为"dba"的帐户。

未更改这些账户默认密码的用户很容易受到外部攻击者的劫持。

那些更改了密码但选择了弱密码的用户仍可能通过暴力破解受到攻击。

Huntress 报告称,它观察到针对这些服务器的非常激进的暴力攻击,有时在一小时内对单个主机进行多达 35,000 次尝试,才成功猜出密码。

一旦攻击者获得访问权限,他们就会启用 MSSQL"xp_cmdshell"功能,这允许威胁行为者通过 SQL 查询在操作系统中执行命令。

例如, EXEC xp_cmdshell 'ipconfig'查询将导致ipconfig命令在 Windows 命令 shell 中执行,并且输出将显示在响应中。

SQL 服务器进程在 Windows 上生成 cmd 以执行命令

在攻击中观察到的两个命令是"ipconfig"(用于检索网络配置详细信息)和"wmic"(用于提取有关硬件、操作系统和用户帐户的信息)。

Huntress 对其保护的 300 万个端点进行的调查发现了 500 台运行目标会计软件的主机,其中 33 台公开了具有默认管理员凭据的 MSSQL 数据库。

它已经向 Foundation 通报了其发现,而该软件供应商回应称,该问题仅影响其应用程序的内部版本,而不影响其基于云的产品。

基金会还指出,并非所有服务器都开放了 4243 端口,并且并非所有目标帐户都使用相同的默认凭据。

Huntress 建议基金会管理员轮换账户凭证,并确保在不需要时不会公开 MSSQL 服务器。

相关推荐
2501_915921437 分钟前
TCP 抓包分析实战,从抓取到定位(命令、常见症状、排查流程与真机抓包补充)
网络·网络协议·tcp/ip·ios·小程序·uni-app·iphone
小苑同学16 分钟前
研究生如何看懂文献?
人工智能·安全·网络安全·安全性测试
补三补四16 分钟前
图卷积网络 (GCN)
网络·人工智能·深度学习·神经网络·算法·机器学习
yenggd1 小时前
华为bgp路由的各种控制和团体属性及orf使用案例
网络·华为
COWORKSHOP2 小时前
华为芯片泄密案警示:用Curtain e-locker阻断内部数据泄露
运维·服务器·前端·数据库·安全·华为
丰年稻香2 小时前
Electron 安全实践:渲染进程如何安全使用主进程的三方库能力
javascript·安全·electron
lfq7612042 小时前
C#对称加密(AES)的简单代码
安全·c#·加密·对称加密
熊文豪2 小时前
KingbaseES数据库SSL安全传输与数据完整性保护技术详解
数据库·安全·ssl·kingbasees·金仓数据库·电科金仓
未来之窗软件服务2 小时前
操作系统应用开发(十一)RustDesk在线编译自己客户端——东方仙盟筑基期
网络·远程桌面·rustdesk·仙盟创梦ide·东方仙盟
北京耐用通信2 小时前
协议不通,数据何通?耐达讯自动化Modbus TCP与Profibus网关技术破解建筑自动化最大瓶颈
网络·人工智能·网络协议·自动化·信息与通信