聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员最初在9月14日追踪活动时发现该威胁,他们提到,“引起我们注意的是来自 sqlservr.exe 一个父进程中的主机/域名枚举命令。”该应用使用的软件包括用于处理其数据库操作的微软 SQL Server (MSSQL) 实例。研究人员提到,虽然将数据库服务器放在内网或防火墙下很常见,但Foundation 软件中包含的特性可通过一款手机app进行访问。因此,“TCP 端口4243 可能会被该手机app公开暴露,从而提供对 MSSQL 的直接访问权限。”
同时,微软SQL Server 拥有一个默认的系统管理员账户 “sa”,它对整个服务器拥有完整的管理员权限。这些账号可通过这类高权限使用户运行shell命令和脚本。
瞄准该应用的威胁行动者们被指大规模暴力攻击该应用,并使用默认凭据获得对受害者账户的访问权限。另外,威胁行动者们似乎在使用这些脚本自动化其攻击。
建议组织机构更改与 Foundation 软件相关联的凭据,并将其与互联网断网,以免遭受攻击。
原文始发于微信公众号(代码卫士):微软SQL服务器漏洞被用于攻击承包商软件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论