По данным компании Hunterse, занимающейся кибербезопасностью, пользователи программного обеспечения Foundation, которое обслуживает 43 000 специалистов в области строительства, могут подвергаться риску вторжения, если они по-прежнему будут использовать учетные данные по умолчанию.
изображение на сайте Getty Images
Краткое описание погружения:
- Компания Huntress, базирующаяся в Элликотт-Сити, штат Мэриленд, занимающаяся кибербезопасностью, обнаружила новую угрозу для пользователей программного обеспечения Foundation, которое позиционирует себя как обслуживающее 43 000 специалистов в области строительства по всей стране. В отчете от 17 сентября компания Huntress сообщила, что активное воздействие было оказано на сантехнику, системы кондиционирования, бетон и аналогичных субподрядчиков. Хантресс описала взлом как атаку “грубой силы”, при которой злоумышленники используют автоматизированный механизм проб и ошибок для определения учетных данных или другой конфиденциальной информации. По словам Huntress, пострадавшие компании использовали учетные данные по умолчанию — то есть имена пользователей и пароли, которые поставляются с программным обеспечением при покупке и которые должны быть изменены при установке — на момент вторжения.
- Huntress обнаружила около 500 хостов, на которых запущено программное обеспечение Foundation, из 3-х согласно отчету, компания отслеживает более миллиона конечных точек для своих клиентов. Из этого пула компания подтвердила, что выборка из 33 хостов была доступна общественности с неизменными учетными данными по умолчанию. На одном из подвергшихся атаке хостов было зафиксировано более 35 000 попыток входа в систему методом перебора.
Dive Insight:
Foundation сообщила Construction Dive, что часть информации в отчет Huntress был неточным, и в нем говорилось, что затронутые пользователи были ограничены клиентами, все еще использующими устаревшее программное обеспечение, физически установленное в их собственных компаниях, то есть локально, а не через размещенную среду Foundation. Пострадавшие клиенты не следовали протоколу смены своего идентификатора пользователя и пароля, сказал Майк Оуд, генеральный директор Фонда, который отметил, что фирма обслуживает подавляющее большинство своих клиентов с помощью своего программного обеспечения как услуги.
“Если вы покупаете программное обеспечение и устанавливаете его у себя дома, вы несете ответственность за безопасность, стены и периметр, верно?” Ода рассказал Construction Dive. “Мы несем ответственность за то, что мы продавали в течение последнего десятилетия, и это хостинговое решение”.
Он призвал компании, на которые это повлияло, внедрять хостинговое программное обеспечение.
“Мы хотим, чтобы все пользовались нашей SaaS-средой, не так ли? Давайте сделаем это. Давайте возьмем на себя ответственность”, — сказал Ода. Он заявил, что атака, упомянутая в отчете, могла затронуть только одного клиента, но признал, что не знает наверняка.
Риски
Агентство по кибербезопасности и инфраструктуре США заявило, что использование паролей по умолчанию является серьезной проблемой кибербезопасности, и настоятельно призывает организации изменить их.
По словам Джона Хаммонда, главного исследователя по безопасности в Huntress, несмотря на то, что вторжения произошли, на этих компьютерах не было обнаружено никаких компрометирующих или вредоносных действий. Хаммонд сказал, что для самозащиты подрядчики, использующие программное обеспечение, должны изменить свои учетные данные, включая пароли.
Хантресс отметила, что Foundation использует Microsoft SQL в своем программном обеспечении. Объединенные платформы имеют две административные учетные записи с высокими привилегиями, которые в системе называются “sa” и “dba”. Если при установке их учетные данные по умолчанию не изменяются, злоумышленники могут легко получить доступ к программному обеспечению.
Когда с нами связались, Microsoft направила нас на веб-страницу с рекомендациями по безопасности SQL.Для хакера Хэммонд описал усилия, необходимые для взлома уязвимых экземпляров программного обеспечения Foundation, как “тривиальные” и сравнил их с вводом пароля.“Как только злоумышленник найдет локальный сервер Foundation Server, он сможет пройти аутентификацию в качестве администратора базы данных и включить новые настройки, позволяющие ему делать все, что ему заблагорассудится, на всем компьютере”, — сказал Хаммонд. “Откровенно говоря, для входа в систему требуется всего одна команда, и еще две, чтобы нанести реальный ущерб”.
Хаммонд сказал, что злоумышленники могут получить доступ к конфиденциальной информации, такой как учетные данные или финансовые данные, а также получить доступ к самому компьютеру.
“Это точка опоры и начальный вектор доступа ко всей сети с правами администратора”, — сказал Хэммонд в интервью Construction Dive по электронной почте. “В некоторых случаях мы наблюдали установку SQL server непосредственно на контроллер домена организации, что означает, что он является непосредственным ключом к королевству для всей среды”.
Для защиты SQL-серверов Хаммонд рекомендовал ограничить доступ к серверу, если в этом нет необходимости, наряду с изменение паролей по умолчанию для защиты учетных данных и ограничение функциональности ненужных компонентов.
Comments are closed