Los piratas informáticos atacan a las empresas constructoras con ataques de fuerza bruta, penetrando en sus redes y ejecutando diversos comandos de forma remota. Esto es según la investigadora de ciberseguridad Huntress, quien recientemente observó ataques en la naturaleza.
Según los investigadores, los ciberdelincuentes apuntan a Foundation, un software utilizado por empresas de construcción contabilidad y gestión de proyectos. Ayuda a administrar las finanzas, los costos laborales, la nómina y los informes, y proporciona herramientas para realizar un seguimiento de los gastos, administrar contratos y cumplir con las regulaciones de la industria.
Este programa también viene acompañado de una aplicación móvil y, para que funcione correctamente, debe estar microsoft SQL Server (MSSQL) debe configurarse para que esté disponible públicamente a través del puerto TCP 4243. Este servidor tiene dos cuentas administrativas y, en muchos casos, los usuarios nunca han cambiado la cuenta predeterminada. Contraseñas.
Comandos de operación
Los ciberdelincuentes parecen haber captado esta información y han dirigido ataques de fuerza bruta a docenas de organizaciones en un intento de iniciar sesión en estas cuentas. De hecho, Huntress detectó 35.000 intentos en un solo host en una hora. Los investigadores dijeron que vieron “avances activos” en organizaciones que trabajan en plomería, aire acondicionado, calefacción, concreto y similares.
Después de obtener acceso, los atacantes intentan habilitar funciones que les permitan ejecutar comandos en… Sistema operativoAlgunos de los comandos observados por los investigadores fueron recuperar detalles de configuración de red y extraer información sobre dispositivos, sistemas operativos y cuentas de usuario.
Huntress dice que de todos los puntos finales que defiende, se vio que 500 hosts ejecutaban Foundation, 33 de los cuales exponían públicamente bases de datos MSSQL con credenciales de administrador predeterminadas. Los investigadores notificaron a la empresa sus hallazgos, pero la Fundación dijo que el problema sólo afecta a las copias locales. En otras palabras, los usuarios de software deberían ser quienes se preocupen por su postura de seguridad. La compañía confirmó que no todos los servidores tienen el mismo puerto abierto y no todos tienen las mismas credenciales predeterminadas.
a través de Computadora sangrante