提防!網路攻擊者的目標是承包商使用的基金會會計軟體
網路安全威脅已經讓建築業發生了令人擔憂的變化。新一波網路攻擊專門針對基金會會計軟體(承包商廣泛使用的應用程式),引發了管道、暖通空調、混凝土等行業的警報。網路安全公司 Huntress 發現威脅行為者正在利用該軟體,透過暴力攻擊和預設憑證來滲透易受攻擊的系統。
Table of Contents
對承包商的威脅日益嚴重
這些網路攻擊於 9 月 14 日首次檢測到,涉及駭客利用網路上暴露的基金會軟體實例。通常,會計軟體應置於防火牆或 VPN 後面,但由於其行動應用程式功能,一些組織將 TCP 連接埠 4243 公開暴露,該連接埠提供對 Microsoft SQL Server (MSSQL) 資料庫的直接存取。事實證明,此連接埠暴露是攻擊者的切入點。
一旦進入內部,駭客就會瞄準 MSSQL 實例中的預設系統管理員帳戶,這使他們能夠對資料庫伺服器進行完全的管理控制。令人擔憂的是,一些系統還被發現有第二個具有高權限的帳戶,但保留了預設憑證,這使得情況變得更加危險。
攻擊如何進行
透過使用這些預設帳戶,攻擊者能夠利用 MSSQL 中的擴充預存程序。這使他們能夠直接控製作業系統命令,從而使他們能夠運行 shell 命令和腳本,就好像他們具有完全的系統存取權限一樣。從本質上講,這使得攻擊者能夠直接在伺服器上執行操作,從而對承包商的資料和操作完整性構成重大風險。
Huntress 最令人不安的發現之一是這些攻擊所涉及的自動化程度。在某些情況下,駭客能夠在幾分鐘內在不同組織的多個系統上執行腳本。例如,在駭客成功存取系統之前,一次攻擊涉及 35,000 次暴力登入嘗試,凸顯了這些網路犯罪分子的殘酷本性。
您可以採取哪些措施來保護您的業務
Huntress 發現了 33 個公開暴露的基金會軟體主機,這些主機以預設憑證運作。雖然這個數字可能看起來很低,但違規的後果可能是災難性的。使用基金會會計軟體的建築承包商應立即採取以下步驟:
- 更改預設憑證:輪換軟體的所有憑證,尤其是系統管理員和高權限帳戶。
- 限制網路暴露:從網路上斷開任何不必要的軟體實例,並確保採取適當的安全措施,例如防火牆和 VPN。
- 停用易受攻擊的過程:停用 MSSQL 中被利用的擴充預存程序,以防止攻擊者執行作業系統層級指令。
保持領先於威脅
隨著網路攻擊變得越來越複雜,組織必須保持警惕,尤其是在通常不會優先考慮網路安全的行業。通常專注於日常營運的建築承包商可能會忽視諸如暴露的會計軟體之類的漏洞,但最近的一波攻擊清楚地提醒我們強有力的網路安全實踐的重要性。
透過保護您的 Foundation 軟體並隨時了解最新威脅,您可以保護您的企業免於成為下一個目標。
