研究人員發現攻擊者利用了當前流行的計時計費系統中的一個關鍵零日漏洞(現已修補)，成功接管了含有漏洞的服務器，并使用勒索軟件攻擊了該公司的網絡。

本月早些時候Huntress實驗室發現了這一事件，大量攻擊者正在利用BillQuick網絡套件中的SQL注入漏洞進行攻擊。

[[434537]]

安全研究員在一篇文章中稱，黑客能夠成功利用CVE-2021-42258漏洞，并且利用它獲得了一家美國工程公司的初始訪問權，并在受害者的網絡中部署了勒索軟件。

SQL注入是一種攻擊類型，它允許網絡攻擊者干擾應用程序對數據庫的查詢。這些攻擊通常是通過將惡意的SQL語句插入到網站使用的字段(如評論字段)中來進行攻擊的。

攻擊者利用可以遠程執行代碼(RCE)的SQL注入漏洞，成功獲得了這家不知名的工程公司的初始訪問權。

BillQuick官方聲稱在全球擁有超過40萬用戶，用戶主要包括建筑師、工程師、會計師、律師、IT專家和商業顧問等。

研究人員說，擁有巨量的用戶對于品牌的推廣來說是很好的，但對于針對其客戶群體進行攻擊的惡意活動來說就不是什么好事了。

警報

Huntress的研究員通過對勒索軟件的分析發現，這些文件存在于一家由Huntress的MSP管理的工程公司中。經調查，Huntress的分析員發現了MSSQLSERVER$服務賬戶上的Microsoft Defender防病毒警報，表明可能有威脅者利用了一個網絡應用程序獲得了系統的初始訪問權。

同時有跡象表明，一個外國IP正在攻擊一個托管BillQuick的服務器。該服務器托管著BillQuick Web Suite 2020 (WS2020)應用程序，連接日志顯示一個外國IP曾經一直向Web服務器登錄端點發送POST請求，這可能是攻擊者最初進行的攻擊嘗試。

Huntress懷疑一個網絡攻擊者正在試圖攻擊BillQuick，因此研究人員開始逆向分析網絡應用程序，追蹤攻擊者的攻擊路徑。他們設法重新分析了SQL注入攻擊，確認威脅者可以利用它來訪問客戶的BillQuck數據，而且還可以在企業內部的Windows服務器上運行惡意命令。

漏洞可由一個簡單的字符觸發

研究人員說，利用這個現已修補的SQL注入漏洞非常簡單。你只需要提交一個含有無效字符的用戶名字段的登錄請求就可以。根據分析，在登錄頁面并輸入一個單引號就可以觸發這個漏洞。此外，這個頁面的異常處理程序顯示出了完整的程序運行過程，其中可能包含了關于服務器端代碼的敏感信息。

研究人員調查發現，該漏洞的問題就在于系統允許拼接SQL語句進行執行。在連接的過程中，系統會把兩個字符串連接在一起，這樣會導致SQL注入漏洞的發生。

本質上，這個功能允許用戶控制發送到MSSQL數據庫的查詢，在這種情況下，可以通過應用程序的登錄表格進行SQL盲注。未經授權的用戶可以利用這個漏洞，轉儲BillQuick應用程序所使用的MSSQL數據庫的內容，或進行RCE攻擊，這可能會導致攻擊者獲得對整個服務器的控制權限。

Huntress向BillQuick官方通報了這個漏洞，BillQuick官方也打了補丁。但Huntress決定對漏洞其他細節保密，同時也開始評估BillQuick在10月7日發布的WebSuite 2021版22.0.9.1中的代碼修改是否有效。它也在與BillQuick官方合作，解決Huntress在該公司的BillQuick和Core產品中發現的多個安全問題。

8個BillQuick安全漏洞

具體來說，這些都是Huntress發現的其他漏洞，現在正在等待補丁的發布。

• CVE-2021-42344
• CVE-2021-42345
• CVE-2021-42346
• CVE-2021-42571
• CVE-2021-42572
• CVE-2021-42573
• CVE-2021-42741
• CVE-2021-42742

據報道，Huntress警告那些仍在運行BillQuick Web Suite 2018至2021 v22.0.9.0的客戶盡快更新其計費套件。