研究人员发现,攻击者成功接管了包含漏洞的服务器,并使用勒索软件攻击了公司的网络。
本月早些时候Huntress实验室发现了这一事件,大量攻击者正在使用它BillQuick在网络套件中SQL攻击注入漏洞。
安全研究员在一篇文章中说,黑客可以成功利用它CVE-2021-42258该漏洞获得了美国工程公司的初步访问权,并在受害者的网络上部署了勒索软件。
SQL注入是一种允许网络攻击者干扰应用程序查询数据库的攻击类型。这些攻击通常是恶意的SQL将语句插入网站使用的字段(如评论字段)进行攻击。
攻击者可以远程执行代码(RCE)的SQL注入漏洞,成功获得了这家不知名工程公司的初步访问权。
BillQuick官方声称在全球拥有超过40万用户,用户主要包括建筑师、工程师、会计师、律师、IT专家和商业顾问等。
研究人员表示,拥有大量用户对品牌推广有好处,但对攻击其客户群体的恶意活动并不好。
警报
Huntress通过对勒索软件的分析,研究人员发现这些文件存在于一家公司Huntress的MSP在管理的工程公司中。经调查,Huntress分析师发现了MSSQLSERVER$服务账户Microsoft Defender防病毒报警表明,威胁者可能使用网络应用程序获得系统的初始访问权。
同时,有迹象表明,一个外国人IP攻击托管BillQuick服务器。服务器托管BillQuick Web Suite 2020 (WS2020)连接日志显示外国应用程序IP曾经一直向Web服务器登录端点发送POST请求,这可能是攻击者最初的攻击尝试。
Huntress怀疑网络攻击者在试图攻击BillQuick,因此,研究人员开始逆向分析网络应用程序,跟踪攻击者的攻击路径。他们试图重新分析SQL注入攻击,确认威胁者可以用它来访问客户BillQuck数据,也可以在企业内部Windows恶意命令运行在服务器上。
一个简单的字符可以触发漏洞
研究人员说,使用这个已经修复的东西SQL注入漏洞很简单。您只需提交含有无效字符的用户名字段的登录请求。根据分析,这个漏洞可以通过登录页面并输入单引号来触发。此外,页面的异常处理程序显示了一个完整的程序操作过程,可能包含服务器端代码的敏感信息。
研究人员发现,该漏洞的问题是系统允许拼接SQL执行语句。在连接过程中,系统将两个字符串联在一起,这将导致SQL注入漏洞的发生。
本质上,该功能允许用户控制和发送MSSQL在这种情况下,可以通过应用程序的登录表查询数据库SQL盲注。未经授权的用户可以利用此漏洞转储BillQuick使用应用程序MSSQL数据库数据库的内容RCE攻击可能导致攻击者控制整个服务器。
Huntress向BillQuick该漏洞的官方通知,BillQuick官方也打了补丁。但Huntress决定对漏洞的其他细节保密,并开始评估BillQuick发布于10月7日WebSuite 2021版22.0.9.1代码修改是否有效。BillQuick官方合作,解决Huntress在该公司的BillQuick和Core产品中发现的许多安全问题。
8个BillQuick安全漏洞
具体来说,这些都是Huntress其他发现的漏洞正在等待补丁的发布。
- CVE-2021-42344
- CVE-2021-42345
- CVE-2021-42346
- CVE-2021-42571
- CVE-2021-42572
- CVE-2021-42573
- CVE-2021-42741
- CVE-2021-42742
据报道,Huntress警告那些还在运行的人BillQuick Web Suite 2018至2021 v22.0.9.0尽快更新客户的计费套件。