Les pirates informatiques forcent brutalement les mots de passe de comptes hautement privilégiés sur des serveurs comptables Foundation exposés, largement utilisés dans le secteur de la construction, pour violer les réseaux d’entreprise.
L’activité malveillante a été repérée pour la première fois par Huntress, dont les chercheurs ont détecté les attaques le 14 septembre 2024.
Huntress a déjà constaté des violations actives lors de ces attaques contre des entreprises de plomberie, de CVC, de béton et d’autres sous-industries.
Ports ouverts et mots de passe faibles
Dans ces attaques, les attaquants tirent parti d’une combinaison de services exposés amplifiés par le fait que les utilisateurs ne modifient pas les informations d’identification par défaut sur les comptes privilégiés.
Huntress explique que le logiciel Foundation comprend un serveur Microsoft SQL Server (MSSQL) qui peut être configuré pour être accessible au public via le port TCP 4243 pour prendre en charge une application mobile compagnon.
Cependant, cela expose également Microsoft SQL Server à des attaques externes qui tentent de forcer brutalement les comptes MSSQL configurés sur le serveur.
Par défaut, MSSQL a un compte administrateur nommé ‘ sa ‘ tandis que Foundation en a ajouté un second nommé ‘dba.’
Les utilisateurs qui n’ont pas modifié les mots de passe par défaut de ces comptes sont susceptibles d’être détournés par des acteurs externes. Ceux qui l’ont fait mais ont choisi des mots de passe faibles peuvent toujours être compromis par forçage brutal.
Huntress rapporte avoir observé des attaques par force brute très agressives contre ces serveurs, atteignant parfois jusqu’à 35 000 tentatives sur un seul hôte plus d’une heure avant de réussir à deviner un mot de passe.
Une fois que les attaquants y ont accès, ils activent la fonctionnalité MSSQL ‘xp_cmdshell’, qui permet aux auteurs de menaces d’exécuter des commandes dans le système d’exploitation via une requête SQL.
Par exemple, la requête EXEC xp_cmdshell ‘ipconfig’ entraînera l’exécution de la commande ipconfig dans un shell de commandes Windows, et la sortie sera affichée dans la réponse.
Deux commandes observées dans les attaques sont « ipconfig », pour récupérer les détails de la configuration du réseau, et « wmic », pour extraire des informations sur le matériel, le système d’exploitation et les comptes d’utilisateurs.
L’enquête de Huntress sur les trois millions de terminaux sous sa protection a dévoilé 500 hôtes exécutant le logiciel de comptabilité ciblé, dont 33 ont exposé publiquement des bases de données MSSQL avec des informations d’identification d’administrateur par défaut.
Huntress a déclaré à Breachtrace qu’elle avait alerté Foundation de ses conclusions, et le fournisseur de logiciels a répondu en disant que le problème n’affectait que la version sur site de son application et non leur produit basé sur le cloud.
Foundation a également noté que tous les serveurs n’ont pas le port 4243 ouvert et que tous les comptes ciblés n’utilisent pas les mêmes informations d’identification par défaut.
Huntress recommande aux administrateurs de la Fondation de faire pivoter les informations d’identification du compte et de s’assurer qu’ils n’exposent pas publiquement le serveur MSSQL s’ils ne sont pas nécessaires.