Se está observando que atacantes están forzando contraseñas de cuentas
altamente privilegiadas en servidores de contabilidad expuestos de la empresa y software FOUNDATION y a Microsoft SQL, ampliamente utilizados en la industria
de la construcción, para violar las redes corporativas.
La actividad maliciosa
fue detectada por primera vez por Huntress, cuyos investigadores detectaron los ataques el 14 de septiembre de 2024.
Huntress ya ha visto infracciones activas a través de estos ataques en
plomería, HVAC, concreto y otras empresas subindustriales.
En estos ataques, los atacantes aprovechan una combinación de servicios
expuestos amplificados por el hecho de que los usuarios no cambian las
credenciales predeterminadas en las cuentas privilegiadas.
Huntress explica que el software Foundation incluye un servidor Microsoft SQL
(MSSQL) que se puede configurar para que sea accesible públicamente a través
del puerto TCP 4243 para admitir una aplicación móvil complementaria. Sin
embargo, esto también expone el servidor Microsoft SQL a ataques externos que
intentan forzar las cuentas MSSQL configuradas en el servidor.
De forma predeterminada, MSSQL tiene una cuenta de administrador llamada
«sa», mientras que Foundation agregó una segunda llamada «dba».
Los usuarios que no han cambiado las contraseñas predeterminadas de estas
cuentas son susceptibles a ataques por parte de actores externos. Aquellos que
lo hicieron pero eligieron contraseñas débiles aún pueden verse comprometidos
mediante la fuerza bruta.
Huntress informa que observó ataques de fuerza bruta muy agresivos contra
estos servidores, llegando a veces hasta 35.000 intentos en un solo host
durante una hora antes de que adivinaran con éxito una contraseña.
Una vez que los atacantes obtienen acceso, habilitan la función MSSQL
‘xp_cmdshell’, que permite a los actores de amenazas ejecutar comandos
en el sistema operativo a través de una consulta SQL:
EXEC xp_cmdshell 'ipconfig'
Dos comandos observados en los ataques son «ipconfig», para recuperar
detalles de configuración de red, y «wmic», para extraer información
sobre el hardware, el sistema operativo y las cuentas de usuario.
La investigación de Huntress de los tres millones de puntos finales bajo su
protección reveló que 500 hosts ejecutaban el software de contabilidad
específico, 33 de los cuales exponían públicamente bases de datos MSSQL con
credenciales de administrador predeterminadas.
Foundation respondió diciendo que el problema solo afectaba a la versión local
de su aplicación y no a su producto basado en la nube. El proveedor también
señaló que no todos los servidores tienen el puerto 4243 abierto y no todas
las cuentas específicas utilizan las mismas credenciales predeterminadas.
Huntress recomienda que los administradores de Foundation y MSSQL roten las
credenciales de las cuentas y se aseguren de no exponer públicamente el
servidor MSSQL si no es necesario.
Fuente:
Huntress