🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 Liên đoàn Lao động tỉnh Bà Rịa - Vũng Tàu đã đăng ký tín nhiệm. 🔥                    🔥 Công an thành phố Thái Nguyên đã đăng ký tín nhiệm. 🔥                   

Tin tặc khai thác thông tin xác thực mặc định trong phần mềm FOUNDATION để xâm nhập các công ty xây dựng

20/09/2024

Theo những phát hiện mới từ Huntress, các tác nhân đe dọa đã nhắm vào ngành xây dựng bằng cách xâm nhập vào Phần mềm kế toán FOUNDATION.

Công ty an ninh mạng cho biết : "Những kẻ tấn công đã được phát hiện có thể tấn công phần mềm ở quy mô lớn và truy cập chỉ bằng cách sử dụng thông tin đăng nhập mặc định của sản phẩm" .

Mục tiêu của mối đe dọa mới này bao gồm hệ thống ống nước, HVAC (hệ thống sưởi ấm, thông gió và điều hòa không khí), bê tông và các ngành công nghiệp phụ liên quan khác.

Phần mềm FOUNDATION đi kèm với Microsoft SQL (MS SQL) Server để xử lý các hoạt động cơ sở dữ liệu và trong một số trường hợp, cổng TCP 4243 được mở để truy cập trực tiếp vào cơ sở dữ liệu thông qua ứng dụng di động.

Huntress cho biết máy chủ bao gồm hai tài khoản có đặc quyền mức cao, bao gồm "sa", một tài khoản quản trị viên hệ thống mặc định và "dba", một tài khoản do FOUNDATION tạo ra, thường không thay đổi thông tin đăng nhập mặc định.

Điều này cho phép kẻ tấn công có thể khai thác bằng cách dò đoán thông tin đăng nhập (brute-force) vào máy chủ và lợi dụng tùy chọn cấu hình xp_cmdshell để thực thi các lệnh (shell command) tùy ý.

Huntress lưu ý rằng: "Đây là một phương thức (procedure) lưu trữ mở rộng cho phép thực thi các lệnh hệ điều hành trực tiếp từ SQL, cho phép người dùng chạy các shell command và tập lệnh như khi họ có quyền truy cập từ dấu nhắc lệnh (command prompt) hệ thống".

Dấu hiệu đầu tiên của hoạt động này được Huntress phát hiện vào ngày 14 tháng 9 năm 2024, với khoảng 35.000 thử đăng nhập bằng phương pháp tấn công brute-force vào máy chủ MS SQL trên một máy chủ trước khi truy cập thành công.

Trong số 500 máy chủ chạy phần mềm FOUNDATION trên các thiết bị được công ty bảo vệ, 33 máy chủ có thể truy cập công khai bằng thông tin xác thực mặc định.

Theo thống kê từ shodan, Việt Nam hiện có 1488 máy chủ đang triển khai ứng dụng FOUNDATION công khai trên mạng.

Để giảm thiểu rủi ro do các cuộc tấn công như vậy gây ra, bạn nên thay đổi thông tin đăng nhập mặc định và định kỳ thay đổi mật khẩu cho tài khoản; triển khai thêm các biện pháp giúp phát hiện và ngăn chặn tấn công như Firewall, IDPS,…; cách ly ứng dụng khỏi mạng Internet công cộng nếu có thể và vô hiệu hóa tùy chọn xp_cmdshell, chỉ kích hoạt khi thực sự cần thiết.

Nguồn: thehackernews.com.

scrolltop