ハッカーは、企業ネットワークに侵入するために、建設業界で広く使用されている、露出している財団会計サーバーの高度な特権アカウントのパスワードをブルートフォースしている。
この悪質な活動を最初に発見したのはハントレス社で、同社の研究者は2024年9月14日にこの攻撃を検知した。
Huntressは、配管、HVAC、コンクリート、その他のサブインダストリー企業において、これらの攻撃による活発な侵入をすでに確認しています。
オープン・ポートと脆弱なパスワード
これらの攻撃では、攻撃者は、特権アカウントのデフォルト認証情報を変更しないユーザーによって増幅された露出したサービスの組み合わせを利用している。
Huntressの説明によると、FoundationソフトウェアにはMicrosoft SQL Server(MSSQL)が含まれており、コンパニオンモバイルアプリをサポートするためにTCPポート4243経由で一般にアクセスできるように設定することができる。
しかし、これはMicrosoft SQLサーバーを、サーバー上に設定されたMSSQLアカウントをブルートフォースしようとする外部攻撃にさらすことにもなる。
デフォルトでは、MSSQLは’sa’という名前の管理者アカウントを持っているが、Foundationは’dba’という名前の2つ目のアカウントを追加している。
これらのアカウントのデフォルトパスワードを変更していないユーザーは、外部アクターによるハイジャックの影響を受けやすい。変更したユーザーでも、脆弱なパスワードを選んだ場合は、ブルートフォースによって危険にさらされる可能性がある。
Huntressの報告によると、これらのサーバーに対する非常に攻撃的なブルートフォース攻撃が観測され、パスワードの推測に成功するまでの1時間で、1つのホストに対して最大35,000回の試行が行われたこともある。
攻撃者はアクセスすると、MSSQLの「xp_cmdshell」機能を有効にし、SQLクエリを通じてオペレーティング・システムでコマンドを実行できるようにします。
例えば、EXEC xp_cmdshell 'ipconfig'
クエリを実行すると、Windowsコマンドシェル内でipconfig
コマンドが実行され、その出力がレスポンスに表示されます。
攻撃で観測された2つのコマンドは、ネットワーク設定の詳細を取得する「ipconfig」と、ハードウェア、OS、ユーザーアカウントに関する情報を抽出する「wmic」である。
ハントレスが保護下にある300万台のエンドポイントから調査した結果、標的となった会計ソフトを実行しているホストが500台、そのうち33台がデフォルトの管理者認証情報を持つMSSQLデータベースを公開していることが判明した。
Huntressは、Foundationに調査結果を警告したと伝えたが、ソフトウェア・ベンダーは、この問題はオンプレミス版のアプリケーションにのみ影響し、クラウドベースの製品には影響しないと回答した。
Foundationはまた、すべてのサーバーがポート4243をオープンにしているわけではなく、対象となるすべてのアカウントが同じデフォルトの認証情報を使用しているわけではないと指摘した。
Huntressは、Foundationの管理者がアカウントの認証情報をローテーションし、必要ない場合はMSSQLサーバーを公開しないようにすることを推奨している。
Comments