Theo phát hiện mới từ công ty an ninh mạng Huntress, các tác nhân đe dọa đã nhắm vào ngành xây dựng bằng cách xâm nhập vào phần mềm kế toán FOUNDATION.
Huntress cho biết, kẻ tấn công đã thực hiện tấn công brute-force quy mô lớn vào phần mềm và dễ dàng truy cập bằng cách sử dụng thông tin đăng nhập mặc định của sản phẩm. Các mục tiêu của mối đe dọa này bao gồm các lĩnh vực phụ như hệ thống ống nước, HVAC (hệ thống sưởi, thông gió và điều hòa không khí), bê tông và các ngành liên quan khác.
Phần mềm FOUNDATION sử dụng Microsoft SQL (MS SQL) Server để quản lý cơ sở dữ liệu và trong một số trường hợp, cổng TCP 4243 được mở để truy cập trực tiếp vào cơ sở dữ liệu qua ứng dụng di động. Theo Huntress, máy chủ này bao gồm hai tài khoản có quyền cao, bao gồm tài khoản quản trị hệ thống mặc định “sa” và tài khoản “dba” do FOUNDATION tạo ra, thường được để lại với mật khẩu mặc định không đổi.
Kẻ tấn công có thể sử dụng cách brute-force để xâm nhập máy chủ và khai thác tùy chọn cấu hình xp_cmdshell nhằm thực thi các lệnh hệ điều hành tùy ý.
Dấu hiệu đầu tiên của hoạt động này được phát hiện vào ngày 14 tháng 9 năm 2024, khi khoảng 35.000 lần thử đăng nhập brute-force vào một máy chủ MS SQL đã được ghi nhận trước khi kẻ tấn công thành công truy cập.
Trong số 500 máy chủ chạy phần mềm FOUNDATION được bảo vệ bởi Huntress, có 33 máy chủ được phát hiện là công khai truy cập với thông tin đăng nhập mặc định. Để giảm thiểu rủi ro, Huntress khuyến nghị nên xoay vòng mật khẩu của các tài khoản mặc định, ngừng công khai ứng dụng trên internet nếu có thể và vô hiệu hóa tùy chọn xp_cmdshell khi cần thiết.