無(wú)孔不入!黑客利用流行的BillQuick賬單軟件部署勒索軟件

上周五，網(wǎng)絡(luò)安全研究人員披露了一個(gè)名為BillQuick的時(shí)間和計(jì)費(fèi)系統(tǒng)的多個(gè)版本中存在的嚴(yán)重漏洞，目前該漏洞已被修復(fù)，威脅分子正積極利用該漏洞在脆弱的系統(tǒng)上部署勒索軟件。

美國(guó)網(wǎng)絡(luò)安全公司Huntress Labs表示，CVE-2021-42258漏洞涉及一種基于sql的注入攻擊，允許遠(yuǎn)程執(zhí)行代碼，并成功獲得了對(duì)一家未透露姓名的美國(guó)工程公司的初始訪問(wèn)權(quán)，并發(fā)起了勒索軟件攻擊。

雖然BQE軟件已經(jīng)解決了這個(gè)問(wèn)題，但調(diào)查中發(fā)現(xiàn)的其他8個(gè)未公開的安全問(wèn)題還沒(méi)有得到修復(fù)。據(jù)其網(wǎng)站顯示，BQE軟件的產(chǎn)品在全球有40萬(wàn)用戶使用。

“黑客可以利用它訪問(wèn)客戶的BillQuick數(shù)據(jù)，并在他們的本地Windows服務(wù)器上運(yùn)行惡意命令，” Huntress Labs 威脅研究員Caleb Stewart在一篇文章中稱。

“這一事件突顯了困擾SMB軟件的重復(fù)模式:成熟的供應(yīng)商在主動(dòng)保護(hù)其應(yīng)用程序方面做得很少，當(dāng)敏感數(shù)據(jù)不可避免地泄露和/或被勒索時(shí)，將使他們的不知情客戶承擔(dān)重大責(zé)任?！?/p>

從本質(zhì)上講，該漏洞源于BillQuick Web Suite 2020構(gòu)建SQL數(shù)據(jù)庫(kù)查詢的方式，使攻擊者能夠通過(guò)應(yīng)用程序的登錄表單注入特制的SQL，可用于在底層 Windows操作系統(tǒng)上遠(yuǎn)程生成命令shell并實(shí)現(xiàn)代碼執(zhí)行，而反過(guò)來(lái),是由于軟件是以“系統(tǒng)管理員”用戶的身份運(yùn)行的。

“黑客總是在尋找容易被利用的缺陷和漏洞——他們并不總是在像Office這樣的‘大’主流應(yīng)用程序中閑逛，” Stewart表示。

有時(shí)候，一個(gè)生產(chǎn)力工具甚至一個(gè)附加組件都可能成為黑客進(jìn)入某個(gè)環(huán)境并實(shí)施下一步行動(dòng)的大門。

隨著現(xiàn)在軟件供應(yīng)鏈模式已成為主流，任何一個(gè)軟件安全漏洞都可能導(dǎo)致不可計(jì)數(shù)的企業(yè)遭到攻擊。數(shù)據(jù)顯示，90%的網(wǎng)絡(luò)攻擊事件都與漏洞利用相關(guān)，由此可見(jiàn)安全漏洞在網(wǎng)絡(luò)攻擊中起到至關(guān)重要的作用。而企業(yè)在軟件開發(fā)過(guò)程中使用靜態(tài)代碼檢測(cè)工具可以減少30%到70%的安全漏洞，因此隨著網(wǎng)絡(luò)安全形式愈發(fā)嚴(yán)峻，為了確保網(wǎng)絡(luò)安全應(yīng)從源頭代碼做好安全檢測(cè)，以減少軟件安全漏洞筑牢網(wǎng)絡(luò)安全根基。

參讀鏈接：

https://thehackernews.com/2021/10/hackers-exploited-popular-billquick.html