हैकर्स, कंपनी नेटवर्क में सेंध लगाने के लिए, विकास उद्योग में व्यापक रूप से उपयोग किए जाने वाले, बिना पहचाने गए बेसिस अकाउंटिंग सर्वर पर अत्यधिक विशेषाधिकार प्राप्त खातों के पासवर्ड को जबरन बदल रहे हैं।
इस दुर्भावनापूर्ण गतिविधि को सबसे पहले हंट्रेस ने देखा, जिसके शोधकर्ताओं ने 14 सितंबर, 2024 को हमलों का पता लगाया।
हंट्रेस ने पहले ही प्लंबिंग, एचवीएसी, कंक्रीट और अन्य उप-उद्योग निगमों में इन हमलों के माध्यम से सक्रिय उल्लंघनों को देखा है।
खुले पोर्ट और कमज़ोर पासवर्ड
इन हमलों में, हमलावर बिना पहचाने गए प्रदाताओं के मिश्रण से लाभ उठा रहे हैं, जो विशेषाधिकार प्राप्त खातों पर डिफ़ॉल्ट क्रेडेंशियल्स को न बदलने वाले ग्राहकों द्वारा प्रवर्धित हैं।
हंट्रेस बताते हैं कि बेसिस सॉफ़्टवेयर प्रोग्राम में एक Microsoft SQL सर्वर (MSSQL) है जिसे साथी मोबाइल ऐप की सहायता के लिए TCP पोर्ट 4243 के माध्यम से सार्वजनिक रूप से सुलभ होने के लिए कॉन्फ़िगर किया जा सकता है।
फिर भी, यह Microsoft SQL सर्वर को बाहरी हमलों के लिए भी उजागर करता है जो सर्वर पर कॉन्फ़िगर किए गए MSSQL खातों को जबरन इस्तेमाल करने का प्रयास करते हैं।
डिफ़ॉल्ट रूप से, MSSQL में ‘sa’ नाम का एक एडमिन अकाउंट होता है जबकि बेसिस ने ‘dba’ नाम से दूसरा अकाउंट जोड़ा है।
जिन ग्राहकों ने इन अकाउंट पर डिफ़ॉल्ट पासवर्ड नहीं बदले हैं, वे बाहरी लोगों द्वारा अपहरण के शिकार हो सकते हैं। लेकिन जिन्होंने पासवर्ड बदला है, उन्हें ब्रूट-फोर्सिंग के ज़रिए समझौता करना होगा।
हंट्रेस ने रिपोर्ट की है कि उसने इन सर्वरों के खिलाफ़ बहुत आक्रामक ब्रूट-फोर्स हमले देखे हैं, जो आमतौर पर एक होस्ट पर एक घंटे से ज़्यादा समय तक 35,000 बार तक के प्रयासों तक पहुँचते हैं, इससे पहले कि वे पासवर्ड का अनुमान लगा पाते।
जैसे ही हमलावर प्रवेश प्राप्त करते हैं, वे MSSQL ‘xp_cmdshell’ फ़ंक्शन को अनुमति देते हैं, जो खतरे वाले अभिनेताओं को SQL प्रश्न के माध्यम से ऑपरेटिंग सिस्टम में निर्देशों को निष्पादित करने की अनुमति देता है।
उदाहरण के लिए, EXEC xp_cmdshell ‘ipconfig’ प्रश्न ipconfig कमांड को होम विंडोज कमांड शेल में निष्पादित करने के लिए ट्रिगर करेगा, और आउटपुट प्रतिक्रिया में प्रदर्शित किया जाएगा।
SQL सर्वर प्रक्रिया Windows पर कमांड निष्पादन के लिए cmd उत्पन्न करती है
SQL सर्वर प्रक्रिया Windows पर कमांड निष्पादन के लिए cmd उत्पन्न करती है
स्रोत: Huntress
हमलों में देखे गए दो निर्देश ‘ipconfig’ हैं, जो नेटवर्क कॉन्फ़िगरेशन विवरण प्राप्त करने के लिए है, और ‘wmic’, जो हार्डवेयर, OS और उपभोक्ता खातों के बारे में विवरण निकालने के लिए है।
Huntress की जांच में तीन मिलियन एंडपॉइंट्स से पता चला कि फ़ोकस्ड अकाउंटिंग सॉफ़्टवेयर प्रोग्राम चलाने वाले 500 होस्ट हैं, जिनमें से 33 ने डिफ़ॉल्ट एडमिन क्रेडेंशियल के साथ MSSQL डेटाबेस को सार्वजनिक रूप से उजागर किया।
Huntress ने BleepingComputer को सूचित किया कि उसने अपने निष्कर्षों के बारे में Basis को सूचित किया था, और सॉफ़्टवेयर प्रोग्राम विक्रेता ने यह कहकर जवाब दिया कि समस्या केवल उसके सॉफ़्टवेयर के ऑन-प्रिमाइसेस मॉडल को प्रभावित करती है और उनके क्लाउड-आधारित उत्पाद को नहीं।
Bases ने यह भी उल्लेख किया कि सभी सर्वरों में पोर्ट 4243 खुला नहीं है, और सभी लक्षित खाते समान डिफ़ॉल्ट क्रेडेंशियल का उपयोग नहीं करते हैं।
Huntress अनुशंसा करता है कि Bases व्यवस्थापक खाता क्रेडेंशियल घुमाएँ और सुनिश्चित करें कि वे MSSQL सर्वर को सार्वजनिक रूप से उजागर न करें यदि आवश्यक न हो।
