Menurut temuan baru dari Huntress, pelaku ancaman telah diamati menargetkan sektor konstruksi dengan menyusup ke Perangkat Lunak Akuntansi FOUNDATION.
“Penyerang telah diamati melakukan serangan brute-force pada perangkat lunak dalam skala besar, dan mendapatkan akses hanya dengan menggunakan kredensial default produk,” kata perusahaan keamanan siber tersebut.
Sasaran ancaman yang muncul meliputi perpipaan, HVAC (pemanas, ventilasi, dan pendingin udara), beton, dan subindustri terkait lainnya.
Perangkat lunak FOUNDATION dilengkapi dengan Server Microsoft SQL (MS SQL) untuk menangani operasi basis data, dan, dalam beberapa kasus, memiliki port TCP 4243 terbuka untuk mengakses basis data secara langsung melalui aplikasi seluler.
Huntress mengatakan server tersebut menyertakan dua akun dengan hak istimewa tinggi, termasuk “sa,” akun administrator sistem default, dan “dba,” akun yang dibuat oleh FOUNDATION, yang sering kali dibiarkan dengan kredensial default yang tidak berubah.
Konsekuensi dari tindakan ini adalah bahwa pelaku ancaman dapat melakukan brute force pada server dan memanfaatkan opsi konfigurasi xp_cmdshell untuk menjalankan perintah shell sembarangan.
“Ini adalah prosedur tersimpan yang diperluas yang memungkinkan eksekusi perintah OS langsung dari SQL, yang memungkinkan pengguna menjalankan perintah dan skrip shell seolah-olah mereka memiliki akses langsung dari prompt perintah sistem,” kata Huntress.
Tanda-tanda pertama aktivitas tersebut terdeteksi oleh Huntress pada tanggal 14 September 2024, dengan sekitar 35.000 upaya login dengan metode brute-force yang tercatat terhadap server MS SQL pada satu host sebelum berhasil memperoleh akses.
Dari 500 host yang menjalankan perangkat lunak FOUNDATION di seluruh titik akhir yang dilindungi oleh perusahaan, 33 di antaranya ditemukan dapat diakses publik dengan kredensial default.
Untuk mengurangi risiko yang ditimbulkan oleh serangan semacam itu, disarankan untuk merotasi kredensial akun default, berhenti mengekspos aplikasi melalui internet publik jika memungkinkan, dan menonaktifkan opsi xp_cmdshell jika perlu.