ClickCease FOUNDATION Sicherheitslücke: Standard-Anmeldeinformationen von Hackern ausgenutzt - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

FOUNDATION-Verletzung: Standard-Anmeldeinformationen von Hackern ausgenutzt

von Wajahat Raja

3. Oktober 2024. TuxCare-Expertenteam

Huntress, eine Cybersicherheitsplattform, hat vor kurzem die FOUNDATION-Verletzung aufgedeckt, bei der Bedrohungsakteure Standard-Anmeldedaten ausnutzen. Wie in Medienberichtenscheinen die aktuellen Ziele dieser Angriffe verschiedene Anbieter im Bausektor zu sein.

In diesem Artikel gehen wir darauf ein, wie Hacker diese Cyberangriffe auf den Bausektor durchführen können und was getan werden kann, um die Bedrohung zu mindern. Fangen wir an! 

Erste Entdeckung von Cyberangriffen auf den Bausektor

Die FOUNDATION-Verletzung Angriffe wurden erstmals am 14. September 2024 entdeckt. Zu diesem Zeitpunkt wurden rund 35.000 Anmeldeversuche auf einem MS SQL-Server auf einem einzigen Host aufgezeichnet, bevor die Bedrohungsakteure einen ersten Zugang erhalten konnten.

Es ist erwähnenswert, dass die FOUNDATION-Software auf 500 Hosts in Betrieb war. Von diesen 500 wurde bei 33 Hosts ein öffentlicher Zugang mit Standardanmeldeinformationen festgestellt. 

FOUNDATION-Bruch: Cybersecurity-Erkenntnisse

FOUNDATION ist eine Buchhaltungssoftware, die mit Microsoft SQL (MS SQL) Servern ausgestattet ist. Der MS SQL-Server wird in erster Linie für die Abwicklung von Datenbankoperationen verwendet. 

Es ermöglicht jedoch die Öffnung des TCP-Ports 4243 für den direkten Zugriff auf die Datenbank über die mobile App. Die Cybersecurity-Firma hat erklärt, dass sie zwei Konten mit hohen Privilegien enthält. 

Diese Konten umfassen "sa". ein Systemadministrator-Konto, und ein "dba" Konto, das von FOUNDATION erstellt wird. Die FOUNDATION-Verletzung Beobachtungen haben ergeben, dass diese beiden Konten ohne Änderungen an den Standard-Anmeldedaten belassen werden.

Das Brute-Force-Exploit

Da diese Anmeldeinformationen nicht verändert werden, steigt die Wahrscheinlichkeit, dass sie Brute-Force-Angriffen auf MS SQL-Server zum Opfer fallen. Bei solchen Angriffen können Bedrohungsakteure die xp_cmdshell-Konfigurationsoption ausnutzen, um beliebige Shell-Befehle auf die anvisierten Opfer ausführen.

Jüngsten Medienberichten zufolge sind unter anderem die Bereiche Heizung, Lüftung und Klimatisierung (HVAC), Beton, Klempnerarbeiten und andere Teilindustrien betroffen. 

Huntress hat weitere Einzelheiten über den Zugang von Bedrohungsakteuren und ihre Angriffsprotokolle bekannt gegeben erklärt dass:

"Angreifer wurden dabei beobachtet, wie sie die Software im großen Stil aushebeln und sich Zugang verschaffen, indem sie einfach die Standard-Anmeldedaten des Produkts verwenden. Dabei handelt es sich um eine erweiterte gespeicherte Prozedur, die die Ausführung von Betriebssystembefehlen direkt von SQL aus ermöglicht, so dass Benutzer Shell-Befehle und Skripte ausführen können, als hätten sie direkt von der System-Eingabeaufforderung aus Zugriff."

Entschärfung und Schutz von Sicherheitslücken bei Standardanmeldeinformationen  

Solche Cyber-Bedrohungen stellen ein erhebliches Risiko für verschiedene Branchen im Bausektor dar, und wenn man ihnen zum Opfer fällt, kann dies zu Rufschädigung und rechtlichen Konsequenzen führen. Um sich gegen solche Bedrohungen zu wappnen, müssen Unternehmen lernen, eine umfassende Cybersicherheitsstrategie. Darüber hinaus sollten sie auch:

  • Deaktivieren Sie die Option xp_cmdshell.
  • Ändern und drehen Sie die Standard-Anmeldeinformationen für das Konto. 
  • Begrenzung oder Beendigung der Verbreitung der Anwendung über das öffentliche Internet. 

Schlussfolgerung 

Die FOUNDATION-Verletzung ist eine deutliche Erinnerung an die Schwachstellen im Bausektor. Durch proaktive Schritte zur Sicherung von Standardanmeldedaten und die Umsetzung wirksame Maßnahmen zur Cybersicherheitkönnen Unternehmen die Risiken mindern und sich vor künftigen Angriffen schützen, um sicherzustellen, dass ihr Betrieb sicher und zuverlässig bleibt.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Die Platte.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter