Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Строительные компании брутфорсят через бухгалтерское ПО

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-26-2025, 05:12 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Эксперты https://www.huntress.com/blog/cracks...nting-software, что хакеры брутфорсят пароли для привилегированных учетных записей на незащищенных серверах бухгалтерского ПО Foundation, которое широко распространено в строительной отрасли.
По информации специалистов компании Huntress, вредоносная активность была впервые обнаружена 14 сентября 2024 года, и уже зафиксированы фактические взломы, связанные с этой вредоносной кампанией. Среди пострадавших числятся компании, занимающихся сантехникой, отоплением, системами вентиляции и кондиционированием воздуха, производством бетона и так далее.
В своих атаках злоумышленники эксплуатируют тот факт, что пользователи нередко не меняют стандартные учетные данные для привилегированных учетных записей, а также не защищают свои серверы должным образом.
Специалисты объясняют, что в состав Foundation входит Microsoft SQL Server (MSSQL), который может быть доступен публично через TCP-порт 4243 (для поддержки сопутствующего мобильного приложения). Такие серверы Microsoft SQL могут подвергаться атакам извне: хакеры брутфорсят учетные записи MSSQL, пользуясь тем, что по умолчанию в MSSQL существует учетная запись администратора с именем «sa», а в Foundation также добавлена учетная запись с именем «dba».
Если пользователь не изменил пароли по умолчанию на этих учетных записях, атака злоумышленников может увенчаться успехом. Кроме того, зачастую пользователи меняют пароли на слишком слабые, и они так же могут быть скомпрометированы посредством брутфорса.
Huntress сообщает, что в настоящее время наблюдает очень агрессивные брутфорс-атаки, которые порой достигают 35 000 попыток за час на одном хосте.
Если доступ успешно получен, злоумышленники активируют функцию MSSQL xp_cmdshell, которая позволяет им выполнять команды в операционной системе через SQL-запросы. Например, запрос EXEC xp_cmdshell 'ipconfig' приведет к выполнению команды ipconfig, а результаты будут отображены в ответе.

Пока в атаках фактически использовались только две команды: ipconfig для получения сведений о конфигурации сети и wmic для получения информации о железе, ОС и аккаунтах пользователей.
Исследователи сообщают, что выявили 500 хостов, на которых работало бухгалтерское ПО Foundation, и в 33 случаях БД MSSQL были доступны с учетными данными администратора по умолчанию.
https://xakep.ru/2024/09/18/foundation-buteforce/
 

Tags
NULL

« Previous Thread | Next Thread »
Thread Tools
Display Modes
Threaded Mode Threaded Mode

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 05:14 PM.

Contact Us - Carder.life - Archive - Top