Se está observando que atacantes están forzando contraseñas de cuentas altamente privilegiadas en servidores de contabilidad expuestos de la empresa y software FOUNDATION y a Microsoft SQL, ampliamente utilizados en la industria de la construcción, para violar las redes corporativas.

La actividad maliciosa fue detectada por primera vez por Huntress, cuyos investigadores detectaron los ataques el 14 de septiembre de 2024. Huntress ya ha visto infracciones activas a través de estos ataques en plomería, HVAC, concreto y otras empresas subindustriales.

En estos ataques, los atacantes aprovechan una combinación de servicios expuestos amplificados por el hecho de que los usuarios no cambian las credenciales predeterminadas en las cuentas privilegiadas.

Huntress explica que el software Foundation incluye un servidor Microsoft SQL (MSSQL) que se puede configurar para que sea accesible públicamente a través del puerto TCP 4243 para admitir una aplicación móvil complementaria. Sin embargo, esto también expone el servidor Microsoft SQL a ataques externos que intentan forzar las cuentas MSSQL configuradas en el servidor.

De forma predeterminada, MSSQL tiene una cuenta de administrador llamada "sa", mientras que Foundation agregó una segunda llamada "dba". Los usuarios que no han cambiado las contraseñas predeterminadas de estas cuentas son susceptibles a ataques por parte de actores externos. Aquellos que lo hicieron pero eligieron contraseñas débiles aún pueden verse comprometidos mediante la fuerza bruta.

Huntress informa que observó ataques de fuerza bruta muy agresivos contra estos servidores, llegando a veces hasta 35.000 intentos en un solo host durante una hora antes de que adivinaran con éxito una contraseña.

Una vez que los atacantes obtienen acceso, habilitan la función MSSQL 'xp_cmdshell', que permite a los actores de amenazas ejecutar comandos en el sistema operativo a través de una consulta SQL: EXEC xp_cmdshell 'ipconfig'

Dos comandos observados en los ataques son "ipconfig", para recuperar detalles de configuración de red, y "wmic", para extraer información sobre el hardware, el sistema operativo y las cuentas de usuario.

La investigación de Huntress de los tres millones de puntos finales bajo su protección reveló que 500 hosts ejecutaban el software de contabilidad específico, 33 de los cuales exponían públicamente bases de datos MSSQL con credenciales de administrador predeterminadas.

Foundation respondió diciendo que el problema solo afectaba a la versión local de su aplicación y no a su producto basado en la nube. El proveedor también señaló que no todos los servidores tienen el puerto 4243 abierto y no todas las cuentas específicas utilizan las mismas credenciales predeterminadas.

Huntress recomienda que los administradores de Foundation y MSSQL roten las credenciales de las cuentas y se aseguren de no exponer públicamente el servidor MSSQL si no es necesario.

Fuente: Huntress