Negli ultimi tempi, i cyber threat actors hanno continuato a sfruttare vulnerabilità nei sistemi informatici per infiltrarsi nelle aziende. Uno dei metodi più comuni è quello di sfruttare le credenziali predefinite nei software. In questo articolo, esploreremo come i hacker stanno sfruttando le credenziali predefinite nel software FOUNDATION per infiltrarsi nelle aziende di costruzione e quali sono le misure di sicurezza che possono essere adottate per prevenire tali attacchi.
Il Software FOUNDATION e le Credenziali Predefinite
Il software FOUNDATION è un sistema di contabilità utilizzato da molte aziende di costruzione, tra cui quelle del settore della piaggeria, dell’aria condizionata, del cemento e altri. Tuttavia, come molti software, anche il FOUNDATION viene spesso fornito con credenziali predefinite che, se non cambiate, possono essere facilmente sfruttate dai cyber threat actors.
Come Funziona l’Attacco
Gli attacchi ai sistemi di contabilità come il FOUNDATION sono spesso eseguiti attraverso la brute force, ovvero il tentativo di accedere al sistema utilizzando una combinazione di username e password. In questo caso specifico, i cyber threat actors stanno sfruttando le credenziali predefinite per accedere ai server MS SQL del software, che sono spesso esposti alla rete.
Rischi e Conseguenze
Una volta che i cyber threat actors hanno accesso ai server MS SQL, possono sfruttare la configurazione dell’xp_cmdshell per eseguire comandi OS direttamente dal database. Questo permette loro di eseguire comandi di shell e script come se avessero accesso diretto al sistema di comando, aumentando significativamente il rischio di compromissione del sistema.
Esempi di Attacchi
I primi segni di attività di questo tipo sono stati rilevati da Huntress il 14 settembre 2024, con circa 35.000 tentativi di accesso forzato registrati contro un server MS SQL su un solo host prima di ottenere accesso con successo. Di un totale di 500 host che utilizzano il software FOUNDATION, 33 sono stati trovati essere pubblicamente accessibili con credenziali predefinite.
Misure di Sicurezza
Per mitigare il rischio di attacchi di questo tipo, è fondamentale adottare alcune misure di sicurezza:
- Rotazione delle Credenziali: Cambiare le credenziali predefinite del software FOUNDATION e delle altre applicazioni utilizzate.
- Esposizione Minima: Evitare di esporre l’applicazione sul web se possibile.
- Disabilitazione dell’xp_cmdshell: Disabilitare l’xp_cmdshell dove appropriato per prevenire l’esecuzione di comandi OS dal database.
- Monitoraggio Continuo: Monitorare continuamente i tentativi di accesso e le attività anomale sul server.
- Formazione degli Utenti: Formare gli utenti sulla sicurezza e sulla necessità di utilizzare credenziali sicure.
I cyber threat actors continuano a sfruttare vulnerabilità nei sistemi informatici, e le credenziali predefinite nel software FOUNDATION sono un bersaglio facile. È essenziale che le aziende di costruzione e altre organizzazioni adottino misure di sicurezza efficaci per proteggere i loro sistemi da attacchi di brute force. Cambiando le credenziali predefinite, limitando l’esposizione dell’applicazione e monitorando continuamente le attività sul server, è possibile ridurre significativamente il rischio di compromissione del sistema.
Fonte: https://thehackernews.com/2024/09/hackers-exploit-default-credentials-in.html
