【安全资讯】建筑公司遭遇暴力破解攻击，财务软件受损

概要：

近日，建筑行业的多家公司遭遇了暴力破解攻击，黑客通过暴力破解财务软件的高权限账户密码，成功入侵企业网络。此次攻击事件由Huntress的研究人员首次发现，揭示了建筑行业在网络安全方面的重大漏洞。

主要内容：

在这次攻击中，黑客利用暴力破解手段，针对建筑行业广泛使用的Foundation财务软件的高权限账户进行攻击。Huntress的研究人员在2024年9月14日首次检测到这些攻击活动，并发现多家建筑子行业公司如管道、暖通空调和混凝土公司已经遭到入侵。

攻击者利用公开暴露的服务和用户未更改默认凭证的漏洞，成功入侵了这些系统。Foundation软件包含一个可以通过TCP端口4243公开访问的Microsoft SQL Server（MSSQL），这使得MSSQL账户容易受到暴力破解攻击。默认情况下，MSSQL有一个名为'sa'的管理员账户，而Foundation则增加了一个名为'dba'的账户。未更改默认密码或使用弱密码的用户极易被外部攻击者劫持。

一旦攻击者成功获取访问权限，他们会启用MSSQL的'xp_cmdshell'功能，通过SQL查询在操作系统中执行命令。例如，执行EXEC xp_cmdshell 'ipconfig'查询会在Windows命令行中执行ipconfig命令，并在响应中显示输出。Huntress的调查显示，在其保护的三百万个端点中，有500个主机运行目标财务软件，其中33个公开暴露了带有默认管理员凭证的MSSQL数据库。

Huntress已将其发现告知Foundation，软件供应商回应称此问题仅影响其本地部署版本的应用程序，而非云端产品。Foundation还指出，并非所有服务器都开放端口4243，也并非所有目标账户都使用相同的默认凭证。Huntress建议Foundation管理员轮换账户凭证，并确保在不需要时不公开暴露MSSQL服务器。