Nel settore della cybersecurity, un nuovo allarme è stato lanciato riguardo a una serie di attacchi informatici che colpiscono le aziende di costruzioni attraverso il software FOUNDATION Accounting. Secondo le recenti scoperte di Huntress, gli hacker stanno sfruttando credenziali di default per infiltrarsi nei sistemi delle aziende di costruzioni, inclusi settori come idraulica, HVAC, cemento e altri sub-settori correlati.

Il software FOUNDATION utilizza un server Microsoft SQL (MS SQL) per gestire le operazioni di database e, in alcuni casi, il server ha aperta la porta TCP 4243 per consentire l'accesso diretto al database tramite un'app mobile. Questo server include due account ad alta privilegi, "sa" e "dba", che spesso rimangono con le credenziali di default non modificate. Gli attaccanti stanno sfruttando questa mancanza di sicurezza per effettuare attacchi brute-force su larga scala, ottenendo così l'accesso ai sistemi critici.

Una delle tecniche utilizzate dagli hacker prevede l'uso dell'opzione di configurazione xp_cmdshell, che consente di eseguire comandi shell arbitrari direttamente dal SQL Server. Questo permette agli utenti di eseguire comandi e script shell come se avessero accesso diretto al prompt dei comandi del sistema. Secondo Huntress, i primi segni di questa attività sono stati rilevati il 14 settembre 2024, con circa 35.000 tentativi di login brute-force registrati su un server MS SQL prima di ottenere l'accesso con successo.

Delle 500 istanze di software FOUNDATION monitorate da Huntress, 33 sono risultate pubblicamente accessibili con credenziali di default. Questo rappresenta un rischio significativo per le aziende coinvolte, poiché gli attacchi possono portare a perdite di dati sensibili e interruzioni delle operazioni aziendali.

Per mitigare il rischio di tali attacchi, si raccomanda di ruotare regolarmente le credenziali degli account di default, evitare di esporre l'applicazione su internet pubblico quando possibile e disabilitare l'opzione xp_cmdshell dove appropriato. Questi passaggi possono aiutare a ridurre le vulnerabilità e proteggere meglio le infrastrutture IT delle aziende di costruzioni.

L'importanza della cybersecurity nel settore delle costruzioni non può essere sottolineata abbastanza. Le aziende devono essere proactive nell'adottare misure di sicurezza adeguate per proteggere i loro sistemi e dati da potenziali attacchi. La consapevolezza e la formazione continua del personale riguardo alle migliori pratiche di sicurezza sono fondamentali per mantenere un ambiente sicuro e resiliente contro le minacce informatiche.