《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > BillQuick計費(fèi)軟件被攻擊者利用進(jìn)行勒索軟件攻擊

BillQuick計費(fèi)軟件被攻擊者利用進(jìn)行勒索軟件攻擊

2021-11-11
來源:嘶吼專業(yè)版
關(guān)鍵詞: 勒索軟件

  研究人員發(fā)現(xiàn)攻擊者利用了當(dāng)前流行的計時計費(fèi)系統(tǒng)中的一個關(guān)鍵零日漏洞(現(xiàn)已修補(bǔ)),成功接管了含有漏洞的服務(wù)器,并使用勒索軟件攻擊了該公司的網(wǎng)絡(luò)。

  本月早些時候Huntress實(shí)驗(yàn)室發(fā)現(xiàn)了這一事件,大量攻擊者正在利用BillQuick網(wǎng)絡(luò)套件中的SQL注入漏洞進(jìn)行攻擊。

  安全研究員在一篇文章中稱,黑客能夠成功利用CVE-2021-42258漏洞,并且利用它獲得了一家美國工程公司的初始訪問權(quán),并在受害者的網(wǎng)絡(luò)中部署了勒索軟件。

  SQL注入是一種攻擊類型,它允許網(wǎng)絡(luò)攻擊者干擾應(yīng)用程序?qū)?shù)據(jù)庫的查詢。這些攻擊通常是通過將惡意的SQL語句插入到網(wǎng)站使用的字段(如評論字段)中來進(jìn)行攻擊的。

  攻擊者利用可以遠(yuǎn)程執(zhí)行代碼(RCE)的SQL注入漏洞,成功獲得了這家不知名的工程公司的初始訪問權(quán)。

  BillQuick官方聲稱在全球擁有超過40萬用戶,用戶主要包括建筑師、工程師、會計師、律師、IT專家和商業(yè)顧問等。

  研究人員說,擁有巨量的用戶對于品牌的推廣來說是很好的,但對于針對其客戶群體進(jìn)行攻擊的惡意活動來說就不是什么好事了。

  警報

  Huntress的研究員通過對勒索軟件的分析發(fā)現(xiàn),這些文件存在于一家由Huntress的MSP管理的工程公司中。經(jīng)調(diào)查,Huntress的分析員發(fā)現(xiàn)了MSSQLSERVER$服務(wù)賬戶上的Microsoft Defender防病毒警報,表明可能有威脅者利用了一個網(wǎng)絡(luò)應(yīng)用程序獲得了系統(tǒng)的初始訪問權(quán)。

  同時有跡象表明,一個外國IP正在攻擊一個托管BillQuick的服務(wù)器。該服務(wù)器托管著BillQuick Web Suite 2020 (WS2020)應(yīng)用程序,連接日志顯示一個外國IP曾經(jīng)一直向Web服務(wù)器登錄端點(diǎn)發(fā)送POST請求,這可能是攻擊者最初進(jìn)行的攻擊嘗試。

  Huntress懷疑一個網(wǎng)絡(luò)攻擊者正在試圖攻擊BillQuick,因此研究人員開始逆向分析網(wǎng)絡(luò)應(yīng)用程序,追蹤攻擊者的攻擊路徑。他們設(shè)法重新分析了SQL注入攻擊,確認(rèn)威脅者可以利用它來訪問客戶的BillQuck數(shù)據(jù),而且還可以在企業(yè)內(nèi)部的Windows服務(wù)器上運(yùn)行惡意命令。

  漏洞可由一個簡單的字符觸發(fā)

  研究人員說,利用這個現(xiàn)已修補(bǔ)的SQL注入漏洞非常簡單。你只需要提交一個含有無效字符的用戶名字段的登錄請求就可以。根據(jù)分析,在登錄頁面并輸入一個單引號就可以觸發(fā)這個漏洞。此外,這個頁面的異常處理程序顯示出了完整的程序運(yùn)行過程,其中可能包含了關(guān)于服務(wù)器端代碼的敏感信息。

  研究人員調(diào)查發(fā)現(xiàn),該漏洞的問題就在于系統(tǒng)允許拼接SQL語句進(jìn)行執(zhí)行。在連接的過程中,系統(tǒng)會把兩個字符串連接在一起,這樣會導(dǎo)致SQL注入漏洞的發(fā)生。

  本質(zhì)上,這個功能允許用戶控制發(fā)送到MSSQL數(shù)據(jù)庫的查詢,在這種情況下,可以通過應(yīng)用程序的登錄表格進(jìn)行SQL盲注。未經(jīng)授權(quán)的用戶可以利用這個漏洞,轉(zhuǎn)儲BillQuick應(yīng)用程序所使用的MSSQL數(shù)據(jù)庫的內(nèi)容,或進(jìn)行RCE攻擊,這可能會導(dǎo)致攻擊者獲得對整個服務(wù)器的控制權(quán)限。

  Huntress向BillQuick官方通報了這個漏洞,BillQuick官方也打了補(bǔ)丁。但Huntress決定對漏洞其他細(xì)節(jié)保密,同時也開始評估BillQuick在10月7日發(fā)布的WebSuite 2021版22.0.9.1中的代碼修改是否有效。它也在與BillQuick官方合作,解決Huntress在該公司的BillQuick和Core產(chǎn)品中發(fā)現(xiàn)的多個安全問題。

  8個BillQuick安全漏洞

  具體來說,這些都是Huntress發(fā)現(xiàn)的其他漏洞,現(xiàn)在正在等待補(bǔ)丁的發(fā)布。

  CVE-2021-42344

  CVE-2021-42345

  CVE-2021-42346

  CVE-2021-42571

  CVE-2021-42572

  CVE-2021-42573

  CVE-2021-42741

  CVE-2021-42742

  據(jù)報道,Huntress警告那些仍在運(yùn)行BillQuick Web Suite 2018至2021 v22.0.9.0的客戶盡快更新其計費(fèi)套件。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。