Будьте осторожны! Кибератаки нацелены на программное обеспечение для бухгалтерского учета, используемое подрядчиками

Угрозы кибербезопасности приняли тревожный оборот для строительной отрасли. Новая волна кибератак нацелена конкретно на Foundation Accounting Software, широко используемое подрядчиками приложение, вызывая тревогу в таких секторах, как сантехника, HVAC, бетон и другие. Фирма по кибербезопасности Huntress обнаружила, что злоумышленники используют это программное обеспечение, используя атаки методом подбора и учетные данные по умолчанию для проникновения в уязвимые системы.
Table of Contents
Растущая угроза подрядчикам
Кибератаки, впервые обнаруженные 14 сентября, были связаны с хакерами, использующими открытые экземпляры программного обеспечения Foundation в Интернете. Обычно бухгалтерское программное обеспечение должно храниться за брандмауэром или VPN, но из-за его функциональности мобильного приложения некоторые организации оставили порт TCP 4243 открытым, что обеспечивает прямой доступ к базе данных Microsoft SQL Server (MSSQL). Этот открытый порт оказался точкой входа для злоумышленников.
Оказавшись внутри, хакеры нацеливаются на учетную запись системного администратора по умолчанию в экземпляре MSSQL, что дает им полный административный контроль над сервером базы данных. Тревожно, что в некоторых системах также была обнаружена вторая учетная запись с высокими привилегиями, оставленная с учетными данными по умолчанию, что делает ситуацию еще более опасной.
Как работают атаки
Используя эти учетные записи по умолчанию, злоумышленники получают возможность использовать расширенную хранимую процедуру в MSSQL. Это дает им прямой контроль над командами ОС, позволяя им запускать команды оболочки и скрипты, как если бы у них был полный доступ к системе. По сути, это позволяет злоумышленникам выполнять действия непосредственно на сервере, что создает значительный риск для данных подрядчиков и операционной целостности.
Одним из самых тревожных выводов Huntress стал уровень автоматизации, задействованный в этих атаках. В некоторых случаях хакеры могли выполнять скрипты на нескольких системах из разных организаций в течение нескольких минут. Например, одна атака включала 35 000 попыток входа методом подбора, прежде чем хакеры успешно получили доступ к системе, что подчеркивает неумолимую природу этих киберпреступников.
Что вы можете сделать, чтобы защитить свой бизнес
Huntress выявила 33 публично раскрытых хоста программного обеспечения Foundation, работающих с учетными данными по умолчанию. Хотя это число может показаться небольшим, последствия нарушения могут быть катастрофическими. Строительные подрядчики, использующие программное обеспечение Foundation Accounting, должны действовать немедленно, выполнив следующие шаги:
- Измените учетные данные по умолчанию: измените все учетные данные для программного обеспечения, особенно учетные записи системного администратора и учетные записи с высокими привилегиями.
- Ограничьте воздействие Интернета: отключите все ненужные экземпляры программного обеспечения от Интернета и обеспечьте принятие надлежащих мер безопасности, таких как брандмауэры и VPN.
- Отключение уязвимых процедур: отключите эксплуатируемую расширенную хранимую процедуру в MSSQL, чтобы не дать злоумышленникам выполнить команды на уровне ОС.
Опережая угрозу
Поскольку кибератаки продолжают становиться все более изощренными, организации должны сохранять бдительность, особенно в отраслях, которые обычно не уделяют кибербезопасности первостепенное внимание. Строительные подрядчики, часто сосредоточенные на повседневной деятельности, могут упускать из виду уязвимости, такие как уязвимое бухгалтерское программное обеспечение, но недавняя волна атак служит суровым напоминанием о важности надежных методов кибербезопасности.
Обеспечивая безопасность программного обеспечения Foundation и оставаясь в курсе последних угроз, вы можете защитить свой бизнес от того, чтобы стать следующей целью.