Los actores de amenazas están apuntando al software de contabilidad Foundation, comúnmente utilizado por contratistas generales en la industria de la construcción, explotando vulnerabilidades activas en las subindustrias de plomería, HVAC y concreto, entre otras.
Los investigadores de Huntress descubrieron inicialmente la amenaza mientras monitoreaban la actividad el 14 de septiembre. «Lo que nos alertó fueron los comandos de enumeración de host/dominio generados por un proceso principal de sqlservr.exe». los investigadores escribieron en su opinión.
El software utilizado por la aplicación incluye un Servidor Microsoft SQL (MSSQL) De este modo, la aplicación móvil puede acceder a las bases de datos de SQL Server, por ejemplo para gestionar sus operaciones de base de datos. Según los investigadores, si bien es común mantener los servidores de bases de datos en una red interna o detrás de un firewall, el software Foundation contiene funciones que permiten el acceso a través de una aplicación móvil. Como resultado, “el puerto TCP 4243 puede quedar expuesto públicamente para su uso por parte de la aplicación móvil. Este puerto 4243 proporciona acceso directo a MSSQL. »
Al mismo tiempo, Microsoft SQL Server tiene una cuenta de administrador del sistema predeterminada, llamada «sa», que tiene privilegios administrativos completos sobre todo el servidor. Con privilegios tan elevados, estas cuentas pueden permitir a los usuarios ejecutar comandos y scripts de shell.
Se ha observado que actores maliciosos que apuntan a la aplicación la fuerzan a escalar y utilizan credenciales predeterminadas para acceder a las cuentas de las víctimas. Además, los actores maliciosos parecen utilizar scripts para automatizar sus ataques.
Se recomienda que las organizaciones roten sus credenciales asociadas con el software Foundation y mantengan las instalaciones desconectadas de Internet para evitar ser víctimas de estos ataques.
