ハッキンググループが人気のある請求書作成ソフトのセキュリティ上の欠陥を悪用して、サーバーを乗っ取ってネットワーク内にランサムウェアを展開していることがわかりました。
Huntress Labs社が発見したこの攻撃は、カリフォルニアに拠点を置くBQE社が開発した請求書作成ソリューション「BillQuick Web Suite」を対象としています。
ハッカーは、CVE-2021-42258を悪用して、米国のエンジニアリング会社への初期アクセスに成功し、被害者のネットワーク全体にランサムウェアを展開することができました
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42258
スチュワートは、Huntress Labs社がこの攻撃を調査した結果、アプリのログインページに存在するSQLインジェクションの脆弱性を悪用した攻撃を再現することができたと述べています。
ログインページに移動し、シングルクォート(
')を入力するだけで、このバグが引き起こされます。さらに、このページのエラーハンドラはフルトレースバックを表示し、サーバー側のコードに関する機密情報が含まれている可能性があります
Huntress氏は、この脆弱性を悪用してBillQuickソフトウェアが使用しているMSSQLデータベースの内容をダンプしたり、ハッカーがサーバー全体をコントロールできるようなリモートコード実行シナリオにも利用できると述べています。
Huntress氏は、この脆弱性を利用して顧客のネットワークに侵入し、ランサムウェアを展開することができたと考えています。
8つの問題が発見され、パッチを提供
Stewart氏によると、Huntress社は今回のランサムウェア攻撃で悪用されたSQLインジェクションのバグ以外にも、調査の過程でBillQuickソフトウェアに8つの脆弱性を発見したとコメントしています。
すべての問題はベンダーに報告され、2021年10月7日にWebSuite 2021のバージョン22.0.9.1において悪用されたCVE-2021-42258のSQLインジェクションバグに対するパッチをリリースしました。
http://billquick.net/download/Support_Download/BQWS2021Upgrade/WebSuite2021LogFile_9_1.pdf
他の8つの問題に対するパッチは近日中に公開される予定です。
Huntress社は現在BillQuick Web Suite 2018から2021 v22.0.9.0までを稼働させているお客様に、ビリングスイートをアップデートするよう警告しています。
BQE BillQuick Web Suite 2018~2021の22.0.9.1以前では、2021年10月にランサムウェアのインストールに悪用されたように、SQLインジェクションによる認証されないリモートコードの実行が可能です。SQLインジェクションでは、例えばtxtID(別名:ユーザー名)パラメータを使用することができます。悪用に成功すると、xp_cmdshellを介してMSSQLSERVER$として任意のコードを実行することができます。
Comments