研究人员发现攻击者利用了当前流行的计时计费系统中的一个关键零日漏洞(现已修补),成功接管了含有漏洞的服务器,并使用勒索软件攻击了该公司的网络。
本月早些时候Huntress实验室发现了这一事件,大量攻击者正在利用BillQuick网络套件中的SQL注入漏洞进行攻击。
安全研究员在一篇文章中称,黑客能够成功利用CVE-2021-42258漏洞,并且利用它获得了一家美国工程公司的初始访问权,并在受害者的网络中部署了勒索软件。
SQL注入是一种攻击类型,它允许网络攻击者干扰应用程序对数据库的查询。这些攻击通常是通过将恶意的SQL语句插入到网站使用的字段(如评论字段)中来进行攻击的。
攻击者利用可以远程执行代码(RCE)的SQL注入漏洞,成功获得了这家不知名的工程公司的初始访问权。
BillQuick官方声称在全球拥有超过40万用户,用户主要包括建筑师、工程师、会计师、律师、IT专家和商业顾问等。
研究人员说,拥有巨量的用户对于品牌的推广来说是很好的,但对于针对其客户群体进行攻击的恶意活动来说就不是什么好事了。
警报
Huntress的研究员通过对勒索软件的分析发现,这些文件存在于一家由Huntress的MSP管理的工程公司中。经调查,Huntress的分析员发现了MSSQLSERVER$服务账户上的Microsoft Defender防病毒警报,表明可能有威胁者利用了一个网络应用程序获得了系统的初始访问权。
同时有迹象表明,一个外国IP正在攻击一个托管BillQuick的服务器。该服务器托管着BillQuick Web Suite 2020 (WS2020)应用程序,连接日志显示一个外国IP曾经一直向Web服务器登录端点发送POST请求,这可能是攻击者最初进行的攻击尝试。
Huntress怀疑一个网络攻击者正在试图攻击BillQuick,因此研究人员开始逆向分析网络应用程序,追踪攻击者的攻击路径。他们设法重新分析了SQL注入攻击,确认威胁者可以利用它来访问客户的BillQuck数据,而且还可以在企业内部的Windows服务器上运行恶意命令。
漏洞可由一个简单的字符触发
研究人员说,利用这个现已修补的SQL注入漏洞非常简单。你只需要提交一个含有无效字符的用户名字段的登录请求就可以。根据分析,在登录页面并输入一个单引号就可以触发这个漏洞。此外,这个页面的异常处理程序显示出了完整的程序运行过程,其中可能包含了关于服务器端代码的敏感信息。
研究人员调查发现,该漏洞的问题就在于系统允许拼接SQL语句进行执行。在连接的过程中,系统会把两个字符串连接在一起,这样会导致SQL注入漏洞的发生。
本质上,这个功能允许用户控制发送到MSSQL数据库的查询,在这种情况下,可以通过应用程序的登录表格进行SQL盲注。未经授权的用户可以利用这个漏洞,转储BillQuick应用程序所使用的MSSQL数据库的内容,或进行RCE攻击,这可能会导致攻击者获得对整个服务器的控制权限。
Huntress向BillQuick官方通报了这个漏洞,BillQuick官方也打了补丁。但Huntress决定对漏洞其他细节保密,同时也开始评估BillQuick在10月7日发布的WebSuite 2021版22.0.9.1中的代码修改是否有效。它也在与BillQuick官方合作,解决Huntress在该公司的BillQuick和Core产品中发现的多个安全问题。
8个BillQuick安全漏洞
具体来说,这些都是Huntress发现的其他漏洞,现在正在等待补丁的发布。
- CVE-2021-42344
- CVE-2021-42345
- CVE-2021-42346
- CVE-2021-42571
- CVE-2021-42572
- CVE-2021-42573
- CVE-2021-42741
- CVE-2021-42742
据报道,Huntress警告那些仍在运行BillQuick Web Suite 2018至2021 v22.0.9.0的客户尽快更新其计费套件。