BillQuick heeft gezegd dat er een kortetermijnpatch zal worden uitgebracht die enkele van de kwetsbaarheden aanpakt die dit weekend zijn geïdentificeerd door cyberbeveiligingsbedrijf Huntress.
In een blogpost op vrijdag zei Huntress-beveiligingsonderzoeker Caleb Stewart dat het ThreatOps-team van het bedrijf “een kritieke kwetsbaarheid heeft ontdekt in meerdere versies van BillQuick Web Suite, een tijd- en factureringssysteem van BQE Software.”
“Hackers waren in staat om met succes CVE-2021-42258 te exploiteren – door het te gebruiken om de eerste toegang te krijgen tot een Amerikaans engineeringbedrijf – en ransomware te implementeren in het netwerk van het slachtoffer. het richten op hun klantenbestand is zorgwekkend,” zei Stewart.
“Dit incident wijst op een zich herhalend patroon dat MKB-software teistert: gerenommeerde leveranciers doen heel weinig om hun applicaties proactief te beveiligen en stellen hun onwetende klanten bloot aan aanzienlijke aansprakelijkheid wanneer gevoelige gegevens onvermijdelijk worden gelekt en/of losgekocht. “
Huntress vond ook acht andere kwetsbaarheden: CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-42573, CVE-2021-42741, CVE -2021-42742.
In een verklaring aan ZDNet zei BQE Software dat hun technische team op de hoogte is van de problemen met BillQuick Web Suite, die klanten gebruiken om BillQuick te hosten, en zei dat de kwetsbaarheid is verholpen.
“Huntress identificeerde ook aanvullende kwetsbaarheden, die we actief hebben onderzocht. We verwachten dat een kortetermijnpatch voor de BQE Web Suite-kwetsbaarheden aan het eind van de dag op 26-10-21 beschikbaar zal zijn, samen met een vaste tijdlijn over wanneer een volledige oplossing zal worden geïmplementeerd”, voegde de woordvoerder eraan toe.
“Het probleem met BQE Web Suite treft minder dan 10% van onze klanten; we zullen elk van hen proactief informeren over het bestaan van deze problemen, wanneer ze kunnen verwachten dat de problemen worden opgelost en wat stappen die ze tussentijds kunnen nemen om hun blootstelling te minimaliseren.”
Huntress legde uit hoe ze de op SQL-injectie gebaseerde aanval konden recreëren, waarvan ze lieten zien dat ze kunnen worden gebruikt om toegang te krijgen tot de BillQuick-gegevens van klanten en om kwaadaardige commando's uit te voeren op hun lokale Windows-servers.
Huntress zei dat het werkte. met BQE Software over dit probleem en prees het bedrijf omdat het snel reageerde en de problemen ook serieus nam.
Maar de blogpost merkt op dat de bug gemakkelijk kan worden geactiveerd door “gewoon naar de inlogpagina te gaan en een enkel aanhalingsteken (`'`).”
“Verder tonen de foutafhandelaars voor deze pagina een volledige traceback, die gevoelige informatie over de server-side code kan bevatten”, schreef Stewart.
CVE-2021-42258 is op 7 oktober door BQE Software gepatcht in WebSuite 2021 versie 22.0.9.1. Maar de acht andere problemen hebben nog steeds patches nodig.
Stewart vertelde BleepingComputer dat niet nader genoemde hackers CVE-2021-42258 gebruikten als toegangspoort tot het Amerikaanse engineeringbedrijf als onderdeel van een ransomware-aanval die plaatsvond tijdens het Columbus Day-weekend. De nieuwsuitzending meldde dat de ransomware-groep geen losgeldbrief had achtergelaten en geen gemakkelijk identificeerbare naam had.
Beveiliging
Hackers kregen op de een of andere manier een door Microsoft uitgegeven digitale rootkit handtekening Dit monster van een phishing-campagne zit achter uw wachtwoorden SolarWinds-hackers Nobelium om opnieuw wereldwijde IT-toeleveringsketens aan te vallen, Microsoft waarschuwt Hackers vermommen hun kwaadaardige JavaScript-code met een moeilijk te verslaan truc Microsoft Teams: uw videogesprekken hebben zojuist een grote beveiliging gekregen boost Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
gerelateerde onderwerpen:
gegevensbeheerbeveiliging TV CXO-datacenters 