هجوم سيبراني يستهدف شركات البناء: استغلال ثغرة في برنامج FOUNDATION
يأتي برنامج FOUNDATION مزودًا بخادم Microsoft SQL (MS SQL) للتعامل مع عمليات قاعدة البيانات، وفي بعض الحالات، يكون به منفذ TCP 4243 مفتوحًا للوصول مباشرة إلى قاعدة البيانات عبر تطبيق الهاتف المحمول
“لقد لوحظ أن المهاجمين يقومون بإجبار البرنامج على نطاق واسع، ويتمكنون من الوصول ببساطة عن طريق استخدام بيانات الاعتماد الافتراضية للمنتج،” شركة الأمن السيبراني قال.
وتشمل أهداف التهديد الناشئ أعمال السباكة والتدفئة والتهوية وتكييف الهواء والخرسانة وغيرها من الصناعات الفرعية ذات الصلة.
يأتي برنامج FOUNDATION مزودًا بخادم Microsoft SQL (MS SQL) للتعامل مع عمليات قاعدة البيانات، وفي بعض الحالات، يكون به منفذ TCP 4243 مفتوحًا للوصول مباشرة إلى قاعدة البيانات عبر تطبيق الهاتف المحمول.
وقالت Huntress إن الخادم يتضمن حسابين عاليي الامتيازات، بما في ذلك “sa”، وهو حساب مسؤول النظام الافتراضي، و”dba”، وهو حساب تم إنشاؤه بواسطة FOUNDATION، والذي غالبًا ما يُترك ببيانات اعتماد افتراضية دون تغيير.
ونتيجة لهذا الإجراء، يمكن للجهات الفاعلة التهديدية فرض القوة الغاشمة على الخادم والاستفادة من خيار التكوين xp_cmdshell لتشغيل أوامر shell العشوائية.
“هذا إجراء مخزن موسع يسمح بتنفيذ أوامر نظام التشغيل مباشرة من SQL، مما يمكّن المستخدمين من تشغيل أوامر shell والبرامج النصية كما لو كان لديهم حق الوصول مباشرة من موجه أوامر النظام،” أشار Huntress.
تم الكشف عن العلامات الأولى للنشاط بواسطة Huntress في 14 سبتمبر 2024، حيث تم تسجيل حوالي 35000 محاولة تسجيل دخول قوية ضد خادم MS SQL على مضيف واحد قبل الحصول على وصول ناجح.
من بين 500 مضيف يقومون بتشغيل برنامج FOUNDATION عبر نقاط النهاية التي تحميها الشركة، تبين أن 33 منهم يمكن الوصول إليهم بشكل عام باستخدام بيانات الاعتماد الافتراضية.
للتخفيف من المخاطر التي تشكلها مثل هذه الهجمات، يوصى بتدوير بيانات اعتماد الحساب الافتراضي، والتوقف عن كشف التطبيق عبر الإنترنت العام إن أمكن، وتعطيل خيار xp_cmdshell حيثما كان ذلك مناسبًا.