【安全资讯】黑客利用Foundation软件，暴露敏感承包商数据

概要：

最近，网络安全公司Huntress报告了一波新的网络攻击，目标是广泛使用的Foundation会计软件，该软件在建筑行业的承包商中非常流行。自9月14日以来，攻击者大规模利用该软件，通过暴力破解和默认凭证访问受害者的账户。

主要内容：

Huntress指出，受影响的公司涉及管道、供暖、通风、空调、混凝土等建筑子领域。每个案例中，Foundation软件都可以通过互联网访问，这使得攻击者能够渗透系统。专家解释，数据库通常保存在内部网络中，并受到防火墙或VPN的保护。然而，Foundation软件通过移动应用提供远程连接，使得TCP端口4243对公众开放。该端口直接连接到MSSQL服务器。

在攻击过程中，黑客利用MSSQL中的管理员账户，获得对服务器及其数据库的完全控制权。问题进一步加剧，因为存在其他高权限账户，有些账户甚至保留了默认密码。这些账户使攻击者能够访问MSSQL中的扩展存储过程，允许他们通过SQL查询直接执行操作系统命令。Huntress指出，脚本被用来自动化攻击，因为在短时间内相同的命令被执行在多个服务器上。

在一个案例中，黑客进行了大约35,000次密码猜测尝试后，成功入侵系统并开始执行命令。到目前为止，Huntress已经识别出33个公开可访问的运行Foundation的软件主机，这些主机的默认凭证尚未更改。受影响的客户已被通知，并向其他使用该软件的公司发出了警告。建议有风险的组织更改所有与Foundation相关的密码，断开系统与互联网的连接，并停用易受攻击的程序以增强安全性。