BillQuick har sagt, at der vil blive frigivet en kortsigtet patch, der adresserer nogle af de sårbarheder, som cybersikkerhedsfirmaet Huntress har identificeret denne weekend.
I et blogindlæg fredag sagde Huntress-sikkerhedsforsker Caleb Stewart, at virksomhedens ThreatOps-team “opdagede en kritisk sårbarhed i flere versioner af BillQuick Web Suite, et tids- og faktureringssystem fra BQE Software.”
“Hackere var i stand til med succes at udnytte CVE-2021-42258 – ved at bruge den til at få indledende adgang til et amerikansk ingeniørfirma – og implementere ransomware på tværs af offerets netværk. I betragtning af BQE's selverklærede brugerbase på 400.000 brugere verden over, en ondsindet kampagne at målrette deres kundebase er bekymrende,” sagde Stewart.
“Denne hændelse fremhæver et gentaget mønster, der plager SMB-software: Veletablerede leverandører gør meget lidt for proaktivt at sikre deres applikationer og udsætter deres uvidende kunder for et betydeligt ansvar, når følsomme data uundgåeligt lækkes og/eller løses. “
Huntress fandt også otte andre sårbarheder: CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-422741, CVE-42574, CVE-42574, CVE-42571, CVE-42571 -2021-42742.
I en erklæring til ZDNet sagde BQE Software, at deres ingeniørteam er opmærksomme på problemerne med BillQuick Web Suite, som kunder bruger til at hoste BillQuick, og sagde, at sårbarheden er blevet rettet.
“Huntress identificerede også yderligere sårbarheder, som vi aktivt har undersøgt. Vi forventer, at en kortsigtet patch til BQE Web Suite-sårbarhederne vil være på plads ved udgangen af dagen den 26.10.2021 sammen med en fast tidslinje for hvornår en fuld rettelse vil blive implementeret,” tilføjede talsmanden.
“Problemet med BQE Web Suite påvirker færre end 10 % af vores kunder; vi vil proaktivt kommunikere til hver af dem om eksistensen af disse problemer, hvornår de kan forvente, at problemerne bliver løst, og hvad skridt, de kan tage i mellemtiden for at minimere deres eksponering.”
Huntress forklarede, hvordan de var i stand til at genskabe det SQL-injektionsbaserede angreb, som de viste kan bruges til at få adgang til kunders BillQuick-data og køre ondsindede kommandoer på deres lokale Windows-servere.
Huntress sagde, at det virkede med BQE Software om problemet og roste virksomheden for at være lydhør og samtidig tage problemerne seriøst.
Men blogindlægget bemærker, at fejlen nemt kunne udløses ved “blot at navigere til login-siden og indtaste en enkelt anførselstegn (`'`).”
“Yderligere viser fejlbehandlerne for denne side en fuld sporing, som kunne indeholde følsomme oplysninger om server-side-koden,” skrev Stewart.
CVE-2021-42258 blev patchet af BQE Software den 7. oktober i WebSuite 2021 version 22.0.9.1. Men de otte andre problemer mangler stadig patches.
Stewart fortalte BleepingComputer, at unavngivne hackere brugte CVE-2021-42258 som en indgang til det amerikanske ingeniørfirma som en del af et ransomware-angreb, der fandt sted i weekenden Columbus Day. Nyhedsmediet rapporterede, at ransomware-gruppen ikke efterlod en løsesum-seddel og ikke havde et let identificerbart navn.
Sikkerhed
Hackere fik på en eller anden måde deres rootkit en Microsoft-udstedt digital signatur Dette monster af en phishing-kampagne er ude efter dine adgangskoder SolarWinds hackere Nobelium til at slå globale it-forsyningskæder igen, advarer Microsoft Hackere skjuler deres ondsindede JavaScript-kode med et svært at slå trick Microsoft Teams: Dine videoopkald har lige fået en stor sikkerhed boost Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Data Management Security TV CXO datacentre 