Hackers Exploit Default Credentials in FOUNDATION Software to Breach Construction Firms
위협 개요
- 해커들이 FOUNDATION 회계 소프트웨어의 기본 자격 증명을 악용하여 건설업계를 대상으로 브루트 포싱(brute-forcing) 공격을 수행
- 공격 대상에는 건설, HVAC, 배관, 콘크리트와 같은 관련 산업 포함
공격 방법
- MS SQL 서버를 포함한 FOUNDATION 소프트웨어의 기본 관리자 계정(sa) 과 FOUNDATION 계정(dba) 의 기본 자격 증명을 사용한 공격
- 일부 서버는 TCP 포트 4243을 통해 모바일 앱에서 데이터베이스에 직접 접근할 수 있어 취약점 발생
- 공격자는 xp_cmdshell 옵션을 사용하여 OS 명령어와 스크립트를 시스템 명령 프롬프트에서 실행 가능
취약점
- 기본 자격 증명이 변경되지 않은 상태로 유지된 서버가 다수 존재
- MS SQL 서버에서 xp_cmdshell 옵션이 활성화되어 있어 해커들이 임의로 명령어를 실행할 수 있는 위험
- 공격자들은 35,000회 이상의 로그인 시도를 통해 시스템 접근 성공
보안 위험
- 조사된 500대의 호스트 중 33대가 기본 자격 증명으로 외부에 노출된 상태
- 고위험 환경에서 임의 명령어 실행 가능성과 데이터 침해 위험
보안 권고
- 비밀번호 주기적 변경
- 기본 관리자 계정의 비밀번호를 주기적으로 변경하여 보안 강화
- 인터넷 노출 방지
- 애플리케이션을 가능하면 공개 네트워크가 아닌 내부 네트워크로 제한
- xp_cmdshell 비활성화
- xp_cmdshell 옵션을 비활성화하여 임의 명령어 실행 방지
- 보안 모니터링 강화
- 서버 접근 로그를 지속적으로 모니터링하고, 비정상적인 활동 감시
- 비밀번호 주기적 변경
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Microsoft, 미국 의료 부문 노리는 새로운 INC 랜섬웨어 경고 (3) | 2024.09.23 |
|---|---|
| TeamTNT의 새로운 크립토재킹 캠페인: CentOS 서버 대상 공격 (0) | 2024.09.23 |
| 중국 해킹 조직 플랙스타이푼, 26만대 IoT 장비 봇넷 운영 적발 (0) | 2024.09.23 |
| 북한 해커, RustDoor 악성코드로 LinkedIn에서 암호화폐 사용자 타깃 (1) | 2024.09.23 |
| Black Basta Ransomware (1) | 2024.09.22 |