研究人員發(fā)現(xiàn)攻擊者利用了當(dāng)前流行的計(jì)時(shí)計(jì)費(fèi)系統(tǒng)中的一個(gè)關(guān)鍵零日漏洞(現(xiàn)已修補(bǔ))，成功接管了含有漏洞的服務(wù)器，并使用勒索軟件攻擊了該公司的網(wǎng)絡(luò)。

本月早些時(shí)候Huntress實(shí)驗(yàn)室發(fā)現(xiàn)了這一事件，大量攻擊者正在利用BillQuick網(wǎng)絡(luò)套件中的SQL注入漏洞進(jìn)行攻擊。

[[434537]]

安全研究員在一篇文章中稱，黑客能夠成功利用CVE-2021-42258漏洞，并且利用它獲得了一家美國(guó)工程公司的初始訪問(wèn)權(quán)，并在受害者的網(wǎng)絡(luò)中部署了勒索軟件。

SQL注入是一種攻擊類型，它允許網(wǎng)絡(luò)攻擊者干擾應(yīng)用程序?qū)?shù)據(jù)庫(kù)的查詢。這些攻擊通常是通過(guò)將惡意的SQL語(yǔ)句插入到網(wǎng)站使用的字段(如評(píng)論字段)中來(lái)進(jìn)行攻擊的。

攻擊者利用可以遠(yuǎn)程執(zhí)行代碼(RCE)的SQL注入漏洞，成功獲得了這家不知名的工程公司的初始訪問(wèn)權(quán)。

BillQuick官方聲稱在全球擁有超過(guò)40萬(wàn)用戶，用戶主要包括建筑師、工程師、會(huì)計(jì)師、律師、IT專家和商業(yè)顧問(wèn)等。

研究人員說(shuō)，擁有巨量的用戶對(duì)于品牌的推廣來(lái)說(shuō)是很好的，但對(duì)于針對(duì)其客戶群體進(jìn)行攻擊的惡意活動(dòng)來(lái)說(shuō)就不是什么好事了。

警報(bào)

Huntress的研究員通過(guò)對(duì)勒索軟件的分析發(fā)現(xiàn)，這些文件存在于一家由Huntress的MSP管理的工程公司中。經(jīng)調(diào)查，Huntress的分析員發(fā)現(xiàn)了MSSQLSERVER$服務(wù)賬戶上的Microsoft Defender防病毒警報(bào)，表明可能有威脅者利用了一個(gè)網(wǎng)絡(luò)應(yīng)用程序獲得了系統(tǒng)的初始訪問(wèn)權(quán)。

同時(shí)有跡象表明，一個(gè)外國(guó)IP正在攻擊一個(gè)托管BillQuick的服務(wù)器。該服務(wù)器托管著BillQuick Web Suite 2020 (WS2020)應(yīng)用程序，連接日志顯示一個(gè)外國(guó)IP曾經(jīng)一直向Web服務(wù)器登錄端點(diǎn)發(fā)送POST請(qǐng)求，這可能是攻擊者最初進(jìn)行的攻擊嘗試。

Huntress懷疑一個(gè)網(wǎng)絡(luò)攻擊者正在試圖攻擊BillQuick，因此研究人員開始逆向分析網(wǎng)絡(luò)應(yīng)用程序，追蹤攻擊者的攻擊路徑。他們?cè)O(shè)法重新分析了SQL注入攻擊，確認(rèn)威脅者可以利用它來(lái)訪問(wèn)客戶的BillQuck數(shù)據(jù)，而且還可以在企業(yè)內(nèi)部的Windows服務(wù)器上運(yùn)行惡意命令。

漏洞可由一個(gè)簡(jiǎn)單的字符觸發(fā)

研究人員說(shuō)，利用這個(gè)現(xiàn)已修補(bǔ)的SQL注入漏洞非常簡(jiǎn)單。你只需要提交一個(gè)含有無(wú)效字符的用戶名字段的登錄請(qǐng)求就可以。根據(jù)分析，在登錄頁(yè)面并輸入一個(gè)單引號(hào)就可以觸發(fā)這個(gè)漏洞。此外，這個(gè)頁(yè)面的異常處理程序顯示出了完整的程序運(yùn)行過(guò)程，其中可能包含了關(guān)于服務(wù)器端代碼的敏感信息。

研究人員調(diào)查發(fā)現(xiàn)，該漏洞的問(wèn)題就在于系統(tǒng)允許拼接SQL語(yǔ)句進(jìn)行執(zhí)行。在連接的過(guò)程中，系統(tǒng)會(huì)把兩個(gè)字符串連接在一起，這樣會(huì)導(dǎo)致SQL注入漏洞的發(fā)生。

本質(zhì)上，這個(gè)功能允許用戶控制發(fā)送到MSSQL數(shù)據(jù)庫(kù)的查詢，在這種情況下，可以通過(guò)應(yīng)用程序的登錄表格進(jìn)行SQL盲注。未經(jīng)授權(quán)的用戶可以利用這個(gè)漏洞，轉(zhuǎn)儲(chǔ)BillQuick應(yīng)用程序所使用的MSSQL數(shù)據(jù)庫(kù)的內(nèi)容，或進(jìn)行RCE攻擊，這可能會(huì)導(dǎo)致攻擊者獲得對(duì)整個(gè)服務(wù)器的控制權(quán)限。

Huntress向BillQuick官方通報(bào)了這個(gè)漏洞，BillQuick官方也打了補(bǔ)丁。但Huntress決定對(duì)漏洞其他細(xì)節(jié)保密，同時(shí)也開始評(píng)估BillQuick在10月7日發(fā)布的WebSuite 2021版22.0.9.1中的代碼修改是否有效。它也在與BillQuick官方合作，解決Huntress在該公司的BillQuick和Core產(chǎn)品中發(fā)現(xiàn)的多個(gè)安全問(wèn)題。

8個(gè)BillQuick安全漏洞

具體來(lái)說(shuō)，這些都是Huntress發(fā)現(xiàn)的其他漏洞，現(xiàn)在正在等待補(bǔ)丁的發(fā)布。

• CVE-2021-42344
• CVE-2021-42345
• CVE-2021-42346
• CVE-2021-42571
• CVE-2021-42572
• CVE-2021-42573
• CVE-2021-42741
• CVE-2021-42742

據(jù)報(bào)道，Huntress警告那些仍在運(yùn)行BillQuick Web Suite 2018至2021 v22.0.9.0的客戶盡快更新其計(jì)費(fèi)套件。