黑客利用流行的BillQuick计费软件部署勒索软件

网络安全研究人员周五透露，一个名为比尔奎克这正被威胁参与者积极利用，在易受攻击的系统上部署勒索软件。

美国网络安全公司Huntess Labs称，CVE-2021-42258涉及一种基于SQL的注入攻击，该攻击允许远程代码执行，并成功地利用该漏洞获得对一家未具名美国工程公司的初始访问权，并发起勒索软件攻击。

虽然10月7日发布的BillQuick 22.0.9.1版中的BQE软件已经解决了这个问题，但在调查中确定的其他八个未披露的安全问题仍有待修补。根据其网站，BQE软件的产品在全球有40万用户。

“黑客可以利用它访问客户的BillQuick数据，并在其内部部署的Windows服务器上运行恶意命令，”Huntess Labs威胁研究人员Caleb Stewart在一篇文章中说。“这起事件突显了困扰中小企业软件的一个重复模式：当敏感数据不可避免地被泄露和/或勒索时，成熟的供应商很少主动保护他们的应用程序，并让他们无意中的客户承担重大责任。”

本质上，该漏洞源于BillQuick Web Suite 2020构建SQL数据库查询的方式，使攻击者能够通过应用程序的登录表单注入精心编制的SQL，该表单可用于在底层Windows操作系统上远程生成命令外壳，并实现代码执行，从而，由于软件以“系统管理员”用户的身份运行，这一点成为可能。

Stewart说：“黑客一直在寻找可以被利用的低效成果和漏洞，而且他们并不总是在Office等‘大型’主流应用程序中四处窥探。”。“有时候，一个高效的工具，甚至是一个附加组件，都可以成为黑客进入环境并采取下一步行动的大门。”