ClickCease FOUNDATION Breach : Des pirates exploitent les informations d'identification par défaut - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

FOUNDATION Breach : Des pirates exploitent les informations d'identification par défaut

par Wajahat Raja

Le 3 octobre 2024 - L'équipe d'experts de TuxCare

Huntress, une plateforme de cybersécurité, a récemment mis au jour la FONDATION dans laquelle des acteurs menaçants utilisent des informations d'identification par défaut. Selon les rapports des médiasles cibles actuelles de ces attaques semblent être différents fournisseurs du secteur de la construction.

Dans cet article, nous verrons comment les pirates informatiques parviennent à mener ces cyberattaques dans le secteur de la construction et ce qu'il est possible de faire pour atténuer la menace. C'est parti ! 

Première découverte des cyberattaques dans le secteur de la construction

La violation de la violation de la FONDATION ont été découvertes le 14 septembre 2024. À l'époque, environ 35 000 tentatives de connexion ont été enregistrées contre un serveur MS SQL sur un seul hôte avant que les acteurs de la menace ne puissent obtenir un accès initial.

Il convient de mentionner ici que le logiciel FOUNDATION s'est avéré opérationnel sur 500 hôtes. Sur ces 500 hôtes, l'accessibilité publique avec des identifiants par défaut a été découverte pour 33 d'entre eux. 

Violation de la FONDATION: Constats en matière de cybersécurité

FOUNDATION est un logiciel de comptabilité équipé de serveurs Microsoft SQL (MS SQL). Le serveur MS SQL est principalement utilisé pour gérer les opérations de base de données. 

Cependant, il permet d'ouvrir le port TCP 4243 pour un accès direct à la base de données via l'application mobile. L'entreprise de cybersécurité a déclaré qu'elle incluait deux comptes disposant de privilèges de haut niveau. 

Ces comptes comprennent "sa", un compte d'administrateur système un compte d'administrateur système, et un compte "dba qui est créé par FOUNDATION. La violation de la FONDATION ont révélé que ces deux comptes sont laissés sans aucune modification des informations d'identification par défaut.

L'exploitation de la force brute

Étant donné que ces informations d'identification ne sont pas modifiées, les chances de devenir la proie d'attaques par force brute sur les serveurs MS SQL augmentent. Avec de telles attaques, les acteurs de la menace peuvent exploiter l'option de configuration xp_cmdshell pour exécuter des commandes shell arbitraires. des commandes shell arbitraires sur les victimes ciblées.

Les médias ont récemment rapporté que certains secteurs de la construction étaient visés, notamment le chauffage, la ventilation et la climatisation (CVC), le béton, la plomberie et d'autres sous-industries. 

Huntress a fourni des détails supplémentaires concernant les acteurs de la menace qui ont obtenu l'accès et leurs protocoles d'attaque. déclaré que :

"Des attaquants ont été observés en train de forcer brutalement le logiciel à grande échelle, et d'obtenir l'accès simplement en utilisant les informations d'identification par défaut du produit. Il s'agit d'une procédure stockée étendue qui permet l'exécution de commandes OS directement à partir de SQL, ce qui permet aux utilisateurs d'exécuter des commandes shell et des scripts comme s'ils avaient accès directement à l'invite de commande du système".

Atténuation et protection de la vulnérabilité des identifiants par défaut  

Ces cybermenaces représentent un risque important pour diverses industries du secteur de la construction, et le fait d'en être la proie peut entraîner des atteintes à la réputation et des répercussions juridiques. Pour atténuer ces menaces, les organisations doivent apprendre à élaborer une stratégie de cybersécurité. En outre, elles doivent également :

  • Désactiver l'option xp_cmdshell.
  • Modifier et changer les informations d'identification du compte par défaut. 
  • Limiter ou cesser l'exposition de l'application sur l'internet public. 

Conclusion 

La violation de la FONDATION rappelle brutalement les vulnérabilités présentes dans le secteur de la construction. En prenant des mesures proactives pour sécuriser les informations d'identification par défaut et en mettant en œuvre des mesures de cybersécurité efficaces. mesures de cybersécurité efficacesles organisations peuvent atténuer les risques et se protéger contre de futures attaques, en veillant à ce que leurs opérations restent sûres et fiables.

Les sources de cet article comprennent des articles dans The Hacker News et The Record.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information