По данным компании Huntress, занимающейся кибербезопасностью, пользователи Foundation Software, которая обслуживает 43 000 специалистов в сфере строительства, могут подвергаться риску взлома, если продолжат использовать учетные данные по умолчанию.
Краткое описание погружения:
- Компания Huntress, занимающаяся кибербезопасностью и базирующаяся в Элликотт-Сити, штат Мэриленд, обнаружила новую угрозу для пользователей Foundation Software, которая позиционирует себя как обслуживающая 43 000 специалистов по строительству по всей стране. В отчете от 17 сентября Huntress сообщила, что активно пострадали подрядчики по сантехнике, HVAC, бетону и т. д.
- Huntress описала взлом как атаку «грубой силы», когда злоумышленники используют автоматизированный механизм проб и ошибок, чтобы угадать учетные данные или другую конфиденциальную информацию. По словам Huntress, пострадавшие компании использовали учетные данные по умолчанию — то есть имена пользователей и пароли, которые поставляются с программным обеспечением при покупке и которые должны быть изменены при установке — во время вторжения.
- Согласно отчету, Huntress обнаружила около 500 хостов, на которых работало программное обеспечение Foundation, из более чем 3 миллионов конечных точек, которые она отслеживает для своих клиентов. Из этого пула компания подтвердила, что выборка из 33 хостов была публично раскрыта с неизменными учетными данными по умолчанию. На одном затронутом хосте она наблюдала более 35 000 попыток входа методом подбора.
Обзор погружения:
В Foundation сообщили Construction Dive, что часть информации в отчете Huntress неточна, и что затронутыми пользователями были только клиенты, которые все еще используют устаревшее программное обеспечение, физически установленное в их собственных компаниях, т. е. локально, а не через размещенную среду Foundation.
По словам Майка Оде, генерального директора Foundation, пострадавшие клиенты не следовали протоколу смены своего идентификатора пользователя и пароля, отметив, что компания обслуживает подавляющее большинство своих клиентов через свое предложение «программное обеспечение как услуга».
«Если вы покупаете программное обеспечение и устанавливаете его у себя, вы несете ответственность за безопасность, стены и периметр, верно?» — сказал Оде Construction Dive. «Мы несем ответственность за то, что продаем последнее десятилетие, а это — размещенное решение».
Он настоятельно призвал пострадавшие компании вместо этого использовать хостинговое программное обеспечение.
«Мы хотим, чтобы все были в нашей среде SaaS, верно? Давайте сделаем это. Давайте возьмем на себя ответственность», — сказал Оде. Он заявил, что атака, упомянутая в отчете, могла затронуть только одного клиента, но признал, что не знает наверняка.
Риски
Агентство по кибербезопасности и инфраструктуре США заявило, что использование паролей по умолчанию является серьезной проблемой кибербезопасности, и настоятельно рекомендует организациям сбросить их.
Несмотря на то, что вторжения имели место, на этих компьютерах не было никакой компрометации или вредоносной активности, сказал Джон Хаммонд, главный исследователь безопасности в Huntress. Хаммонд сказал, что для защиты себя подрядчики, которые используют программное обеспечение, должны изменить свои учетные данные, включая пароли.
Huntress отметила, что Foundation использует Microsoft SQL в своем программном обеспечении. Объединенные платформы имеют две высокопривилегированные административные учетные записи, дублированные в системе как «sa» и «dba». Если их учетные данные по умолчанию остаются неизменными при установке, злоумышленники могут легко проникнуть в программное обеспечение.
В ответ на обращение компания Microsoft указала Construction Dive на свою веб-страницу с рекомендациями по безопасности SQL .
Хаммонд охарактеризовал усилия, необходимые для взлома уязвимых экземпляров программного обеспечения Foundation, как «тривиальные» для хакера и сравнил их с вводом пароля.
«Как только злоумышленник находит локальный сервер Foundation, он может аутентифицироваться как администратор базы данных и включить новые настройки, чтобы делать все, что ему вздумается, на всем компьютере», — сказал Хаммонд. «Откровенно говоря, для входа в систему требуется всего одна команда, а для нанесения реального ущерба — всего две».
Хаммонд заявил, что злоумышленники могут получить доступ к конфиденциальной информации, такой как учетные данные или финансовые подробности, а также проникнуть в сам компьютер.
«Это плацдарм и начальный вектор доступа во всю сеть с привилегиями администратора прямо с порога», — рассказал Хаммонд Construction Dive по электронной почте. «В некоторых случаях мы наблюдали, как SQL-сервер устанавливался непосредственно на контроллер домена организации, что означает, что это непосредственные ключи к королевству для всей среды».
Для защиты серверов SQL Хаммонд рекомендовал ограничить доступ к серверу, если он не нужен, а также изменить пароли по умолчанию для защиты учетных данных и ограничить функциональность ненужных компонентов.
Sourse: www.constructiondive.com
