Theo những phát hiện mới từ Huntress, các tác nhân đe dọa đã nhắm vào ngành xây dựng bằng cách xâm nhập vào Phần mềm kế toán FOUNDATION.
Công ty an ninh mạng cho biết : "Những kẻ tấn công đã được phát hiện có thể tấn công phần mềm ở quy mô lớn và truy cập chỉ bằng cách sử dụng thông tin đăng nhập mặc định của sản phẩm" .
Mục tiêu của mối đe dọa mới này bao gồm hệ thống ống nước, HVAC (hệ thống sưởi ấm, thông gió và điều hòa không khí), bê tông và các ngành công nghiệp phụ liên quan khác.
Phần mềm FOUNDATION đi kèm với Microsoft SQL (MS SQL) Server để xử lý các hoạt động cơ sở dữ liệu và trong một số trường hợp, cổng TCP 4243 được mở để truy cập trực tiếp vào cơ sở dữ liệu thông qua ứng dụng di động.
Huntress cho biết máy chủ bao gồm hai tài khoản có đặc quyền mức cao, bao gồm "sa", một tài khoản quản trị viên hệ thống mặc định và "dba", một tài khoản do FOUNDATION tạo ra, thường không thay đổi thông tin đăng nhập mặc định.
Điều này cho phép kẻ tấn công có thể khai thác bằng cách dò đoán thông tin đăng nhập (brute-force) vào máy chủ và lợi dụng tùy chọn cấu hình xp_cmdshell để thực thi các lệnh (shell command) tùy ý.
Huntress lưu ý rằng: "Đây là một phương thức (procedure) lưu trữ mở rộng cho phép thực thi các lệnh hệ điều hành trực tiếp từ SQL, cho phép người dùng chạy các shell command và tập lệnh như khi họ có quyền truy cập từ dấu nhắc lệnh (command prompt) hệ thống".
Dấu hiệu đầu tiên của hoạt động này được Huntress phát hiện vào ngày 14 tháng 9 năm 2024, với khoảng 35.000 thử đăng nhập bằng phương pháp tấn công brute-force vào máy chủ MS SQL trên một máy chủ trước khi truy cập thành công.
Trong số 500 máy chủ chạy phần mềm FOUNDATION trên các thiết bị được công ty bảo vệ, 33 máy chủ có thể truy cập công khai bằng thông tin xác thực mặc định.
Theo thống kê từ shodan, Việt Nam hiện có 1488 máy chủ đang triển khai ứng dụng FOUNDATION công khai trên mạng.
Để giảm thiểu rủi ro do các cuộc tấn công như vậy gây ra, bạn nên thay đổi thông tin đăng nhập mặc định và định kỳ thay đổi mật khẩu cho tài khoản; triển khai thêm các biện pháp giúp phát hiện và ngăn chặn tấn công như Firewall, IDPS,…; cách ly ứng dụng khỏi mạng Internet công cộng nếu có thể và vô hiệu hóa tùy chọn xp_cmdshell, chỉ kích hoạt khi thực sự cần thiết.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Broadcom đã khắc phục một lỗ hổng nghiêm trọng trong VMware vCenter Server mà kẻ tấn công có thể khai thác để thực thi mã từ xa trên các máy chủ chưa được vá
Tín nhiệm mạng | Lỗ hổng giả mạo Windows MSHTML mới được khắc phục gần đây, CVE-2024-43461, hiện được xác định là đã từng bị khai thác sau khi bị nhóm tin tặc Void Banshee APT lạm dụng trong các cuộc tấn công.
Tín nhiệm mạng | Ivanti đã tiết lộ rằng một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ cloud của công ty đã bị tin tặc khai thác trong thực tế. Lỗ hổng nghiêm trọng đang được đề cập là CVE-2024-8190 (điểm CVSS: 7.2), cho phép thực thi mã từ xa trong một số trường hợp nhất định.
Tín nhiệm mạng | GitLab đã phát hành bản cập nhật bảo mật vào thứ Tư vừa qua để giải quyết 17 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng cho phép kẻ tấn công chạy các tác vụ pipeline với tư cách là người dùng tùy ý.
Tín nhiệm mạng | Ivanti đã khắc phục một lỗ hổng đặc biệt nghiêm trọng trong phần mềm quản lý thiết bị (Endpoint Management / EPM) có thể cho phép kẻ tấn công chưa xác thực thực thi mã từ xa trên máy chủ.
Tín nhiệm mạng | Microsoft đã phát hành bản vá bảo mật Patch Tuesday tháng 9 năm 2024 để giải quyết 79 lỗ hổng, bao gồm 04 lỗ hổng zero-day đang bị khai thác trong thực tế, một trong số đó đã được tiết lộ công khai.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
