研究人員發(fā)現(xiàn)攻擊者利用了當(dāng)前流行的計(jì)時(shí)計(jì)費(fèi)系統(tǒng)中的一個(gè)關(guān)鍵零日漏洞（現(xiàn)已修補(bǔ)），成功接管了含有漏洞的服務(wù)器，并使用勒索軟件攻擊了該公司的網(wǎng)絡(luò)。

　　本月早些時(shí)候Huntress實(shí)驗(yàn)室發(fā)現(xiàn)了這一事件，大量攻擊者正在利用BillQuick網(wǎng)絡(luò)套件中的SQL注入漏洞進(jìn)行攻擊。

　　安全研究員在一篇文章中稱，黑客能夠成功利用CVE-2021-42258漏洞，并且利用它獲得了一家美國工程公司的初始訪問權(quán)，并在受害者的網(wǎng)絡(luò)中部署了勒索軟件。

　　SQL注入是一種攻擊類型，它允許網(wǎng)絡(luò)攻擊者干擾應(yīng)用程序?qū)?shù)據(jù)庫的查詢。這些攻擊通常是通過將惡意的SQL語句插入到網(wǎng)站使用的字段（如評(píng)論字段）中來進(jìn)行攻擊的。

　　攻擊者利用可以遠(yuǎn)程執(zhí)行代碼（RCE）的SQL注入漏洞，成功獲得了這家不知名的工程公司的初始訪問權(quán)。

　　BillQuick官方聲稱在全球擁有超過40萬用戶，用戶主要包括建筑師、工程師、會(huì)計(jì)師、律師、IT專家和商業(yè)顧問等。

　　研究人員說，擁有巨量的用戶對(duì)于品牌的推廣來說是很好的，但對(duì)于針對(duì)其客戶群體進(jìn)行攻擊的惡意活動(dòng)來說就不是什么好事了。

　　警報(bào)

　　Huntress的研究員通過對(duì)勒索軟件的分析發(fā)現(xiàn)，這些文件存在于一家由Huntress的MSP管理的工程公司中。經(jīng)調(diào)查，Huntress的分析員發(fā)現(xiàn)了MSSQLSERVER$服務(wù)賬戶上的Microsoft Defender防病毒警報(bào)，表明可能有威脅者利用了一個(gè)網(wǎng)絡(luò)應(yīng)用程序獲得了系統(tǒng)的初始訪問權(quán)。

　　同時(shí)有跡象表明，一個(gè)外國IP正在攻擊一個(gè)托管BillQuick的服務(wù)器。該服務(wù)器托管著BillQuick Web Suite 2020 （WS2020）應(yīng)用程序，連接日志顯示一個(gè)外國IP曾經(jīng)一直向Web服務(wù)器登錄端點(diǎn)發(fā)送POST請(qǐng)求，這可能是攻擊者最初進(jìn)行的攻擊嘗試。

　　Huntress懷疑一個(gè)網(wǎng)絡(luò)攻擊者正在試圖攻擊BillQuick，因此研究人員開始逆向分析網(wǎng)絡(luò)應(yīng)用程序，追蹤攻擊者的攻擊路徑。他們設(shè)法重新分析了SQL注入攻擊，確認(rèn)威脅者可以利用它來訪問客戶的BillQuck數(shù)據(jù)，而且還可以在企業(yè)內(nèi)部的Windows服務(wù)器上運(yùn)行惡意命令。

　　漏洞可由一個(gè)簡單的字符觸發(fā)

　　研究人員說，利用這個(gè)現(xiàn)已修補(bǔ)的SQL注入漏洞非常簡單。你只需要提交一個(gè)含有無效字符的用戶名字段的登錄請(qǐng)求就可以。根據(jù)分析，在登錄頁面并輸入一個(gè)單引號(hào)就可以觸發(fā)這個(gè)漏洞。此外，這個(gè)頁面的異常處理程序顯示出了完整的程序運(yùn)行過程，其中可能包含了關(guān)于服務(wù)器端代碼的敏感信息。

　　研究人員調(diào)查發(fā)現(xiàn)，該漏洞的問題就在于系統(tǒng)允許拼接SQL語句進(jìn)行執(zhí)行。在連接的過程中，系統(tǒng)會(huì)把兩個(gè)字符串連接在一起，這樣會(huì)導(dǎo)致SQL注入漏洞的發(fā)生。

　　本質(zhì)上，這個(gè)功能允許用戶控制發(fā)送到MSSQL數(shù)據(jù)庫的查詢，在這種情況下，可以通過應(yīng)用程序的登錄表格進(jìn)行SQL盲注。未經(jīng)授權(quán)的用戶可以利用這個(gè)漏洞，轉(zhuǎn)儲(chǔ)BillQuick應(yīng)用程序所使用的MSSQL數(shù)據(jù)庫的內(nèi)容，或進(jìn)行RCE攻擊，這可能會(huì)導(dǎo)致攻擊者獲得對(duì)整個(gè)服務(wù)器的控制權(quán)限。

　　Huntress向BillQuick官方通報(bào)了這個(gè)漏洞，BillQuick官方也打了補(bǔ)丁。但Huntress決定對(duì)漏洞其他細(xì)節(jié)保密，同時(shí)也開始評(píng)估BillQuick在10月7日發(fā)布的WebSuite 2021版22.0.9.1中的代碼修改是否有效。它也在與BillQuick官方合作，解決Huntress在該公司的BillQuick和Core產(chǎn)品中發(fā)現(xiàn)的多個(gè)安全問題。

　　8個(gè)BillQuick安全漏洞

　　具體來說，這些都是Huntress發(fā)現(xiàn)的其他漏洞，現(xiàn)在正在等待補(bǔ)丁的發(fā)布。

　　CVE-2021-42344

　　CVE-2021-42345

　　CVE-2021-42346

　　CVE-2021-42571

　　CVE-2021-42572

　　CVE-2021-42573

　　CVE-2021-42741

　　CVE-2021-42742

　　據(jù)報(bào)道，Huntress警告那些仍在運(yùn)行BillQuick Web Suite 2018至2021 v22.0.9.0的客戶盡快更新其計(jì)費(fèi)套件。