研究人员发现,攻击者利用了当前流行的计时计费系统中的一个严重的零日漏洞(现已修复),并成功接管了包含该漏洞的服务器。并用勒索软件攻击公司网络。HuntressLabs本月早些时候发现了这一事件,许多攻击者正在利用BillQuick网络套件中的SQL注入漏洞。安全研究人员在一篇文章中表示,黑客能够成功利用CVE-2021-42258漏洞,并利用它获得对一家美国工程公司的初始访问权限,并在受害者的网络上部署勒索软件。SQL注入是一种攻击类型,它允许网络攻击者干扰应用程序对数据库的查询。这些攻击通常通过在网站使用的字段(如评论字段)中插入恶意SQL语句来实施。攻击者通过利用可实现远程代码执行(RCE)的SQL注入漏洞,设法获得了对这家未具名工程公司的初始访问权限。BillQuick官方宣称在全球拥有超过40万用户,主要包括建筑师、工程师、会计师、律师、IT专家和商业顾问。研究人员表示,拥有大量用户有利于品牌推广,但不利于针对其客户群的恶意活动。AlertHuntress研究人员通过分析勒索软件发现,这些文件存在于Huntress的MSP管理的一家工程公司中。经过调查,Huntress分析师在MSSQLSERVER$服务帐户上发现了MicrosoftDefender防病毒警报,表明威胁行为者可能使用Web应用程序获得了对系统的初始访问权限。还有迹象表明,外国IP正在攻击托管BillQuick的服务器。服务器托管BillQuickWebSuite2020(WS2020)应用程序,连接日志显示外部IP一直在向Web服务器登录端点发送POST请求,这可能是攻击者的初始攻击尝试。Huntress怀疑网络攻击者正试图破坏BillQuick,因此研究人员开始对Web应用程序进行逆向工程以追踪攻击者的攻击路径。他们设法重新分析了SQL注入攻击,确认威胁行为者可以使用它来访问客户的BillQuck数据,还可以在企业内的Windows服务器上运行恶意命令。漏洞可以由一个简单的字符触发研究人员说,现在修补的SQL注入漏洞的利用很简单。您只需提交一个包含无效字符的用户名字段的登录请求。据分析,在登录页面输入单引号即可触发该漏洞。此外,此页面的异常处理程序显示完整的程序执行,其中可能包含有关服务器端代码的敏感信息。研究人员发现该漏洞的问题在于系统允许拼接SQL语句执行。在连接过程中,系统会将两个字符串连接在一起,这会导致SQL注入漏洞。从本质上讲,此功能允许用户控制发送到MSSQL数据库的查询,在本例中是通过应用程序的登录表单进行盲注SQL。未经授权的用户可以利用此漏洞转储BillQuick应用程序使用的MSSQL数据库的内容,或执行RCE攻击,从而使攻击者获得对整个服务器的控制权。Huntress将此漏洞通知了BillQuick官方,BillQuick官方对其进行了修复。但Huntress决定对漏洞的其他细节保密,同时也开始评估BillQuick在10月7日发布的WebSuite2021版本22.0.9.1中的代码修改是否有效。它还与BillQuick官员合作解决Huntress在公司的BillQuick和Core产品中发现的多个安全问题。8BillQuick安全漏洞具体而言,这些是Huntress发现的其他漏洞,目前正在等待补丁。据报道,Huntress警告仍在运行BillQuickWebSuite2018至2021v22.0.9.0的客户尽快更新他们的计费套件。
