19 de septiembre de 2024Ravie LakshmananSegún los nuevos hallazgos de Huntress, se ha observado que los actores de amenazas de ciberataque/piratería tienen como objetivo el sector de la construcción infiltrándose en el software de contabilidad FOUNDATION. «Se ha observado que los atacantes han forzado el software a gran escala y han obtenido acceso simplemente usando las credenciales predeterminadas del producto», dijo la empresa de ciberseguridad. Los objetivos de la amenaza emergente incluyen la plomería, la calefacción, la ventilación y el aire acondicionado (HVAC), el hormigón y otras subindustrias relacionadas. El software FOUNDATION viene con un servidor Microsoft SQL (MS SQL) para manejar las operaciones de la base de datos y, en algunos casos, tiene el puerto TCP 4243 abierto para acceder directamente a la base de datos a través de una aplicación móvil. Huntress dijo que el servidor incluye dos cuentas con altos privilegios, incluida «sa», una cuenta de administrador del sistema predeterminada, y «dba», una cuenta creada por FOUNDATION, que a menudo se dejan con las credenciales predeterminadas sin cambios. Una consecuencia de esta acción es que los actores de amenazas podrían realizar ataques de fuerza bruta al servidor y aprovechar la opción de configuración xp_cmdshell para ejecutar comandos de shell arbitrarios. «Se trata de un procedimiento almacenado extendido que permite la ejecución de comandos del sistema operativo directamente desde SQL, lo que permite a los usuarios ejecutar comandos y scripts de shell como si tuvieran acceso directamente desde el símbolo del sistema», señaló Huntress. Huntress detectó las primeras señales de la actividad el 14 de septiembre de 2024, con aproximadamente 35.000 intentos de inicio de sesión por fuerza bruta registrados contra un servidor MS SQL en un host antes de obtener acceso exitoso. De los 500 hosts que ejecutan el software FOUNDATION en los puntos finales protegidos por la empresa, se ha descubierto que 33 de ellos son accesibles públicamente con credenciales predeterminadas. Para mitigar el riesgo que plantean estos ataques, se recomienda rotar las credenciales de cuenta predeterminadas, dejar de exponer la aplicación en Internet pública si es posible y deshabilitar la opción xp_cmdshell cuando corresponda. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.