BillQuick har sagt att en kortsiktig patch kommer att släppas som tar itu med några av de sårbarheter som identifierats i helgen av cybersäkerhetsföretaget Huntress.
I ett blogginlägg på fredagen sa Huntress säkerhetsforskare Caleb Stewart att företagets ThreatOps-team “upptäckte en kritisk sårbarhet i flera versioner av BillQuick Web Suite, ett tid- och faktureringssystem från BQE Software.”
“Hackare kunde framgångsrikt utnyttja CVE-2021-42258 – använda den för att få första åtkomst till ett amerikanskt ingenjörsföretag – och distribuera ransomware över offrets nätverk. Med tanke på BQE:s självutnämnda användarbas på 400 000 användare över hela världen, en skadlig kampanj Att rikta in sig på sin kundbas är oroande,” sa Stewart.
“Den här incidenten visar på ett återkommande mönster som plågar SMB-programvara: väletablerade leverantörer gör väldigt lite för att proaktivt säkra sina applikationer och utsätter sina ovetande kunder för betydande ansvar när känslig data oundvikligen läcker ut och/eller löses ut. “
Huntress hittade också åtta andra sårbarheter: CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-422741, CVE-42574, CVE-42574, CVE-42571, CVE-42571 -2021-42742.
I ett uttalande till ZDNet sa BQE Software att deras ingenjörsteam är medvetna om problemen med BillQuick Web Suite, som kunder använder för att vara värd för BillQuick, och sa att sårbarheten har åtgärdats.
“Huntress identifierade också ytterligare sårbarheter, som vi aktivt har undersökt. Vi förväntar oss att en kortsiktig patch till BQE Web Suite-sårbarheterna ska vara på plats i slutet av dagen den 26/10/2021 tillsammans med en fast tidslinje för när en fullständig fix kommer att implementeras”, tillade talesmannen.
“Problemet med BQE Web Suite påverkar färre än 10 % av våra kunder; vi kommer proaktivt att kommunicera till var och en av dem om förekomsten av dessa problem, när de kan förvänta sig att problemen ska lösas och vad åtgärder de kan vidta under tiden för att minimera sin exponering.”
Huntress förklarade hur de kunde återskapa den SQL-injektionsbaserade attacken, som de visade kan användas för att komma åt kunders BillQuick-data och köra skadliga kommandon på deras lokala Windows-servrar.
Huntress sa att det fungerade med BQE Software i frågan och berömde företaget för att vara lyhört samtidigt som de tog problemen på allvar.
Men blogginlägget noterar att buggen lätt kan utlösas genom att “bara navigera till inloggningssidan och gå in i en enstaka citattecken (`'`).”
“Dessutom visar felhanterarna för den här sidan en fullständig spårning, som kan innehålla känslig information om serversidans kod”, skrev Stewart.
CVE-2021-42258 patchades av BQE Software den 7 oktober i WebSuite 2021 version 22.0.9.1. Men de åtta andra frågorna behöver fortfarande patchar.
Stewart berättade för BleepingComputer att icke namngivna hackare använde CVE-2021-42258 som en ingångspunkt till det amerikanska ingenjörsföretaget som en del av en ransomware-attack som ägde rum under Columbus Day-helgen. Nyhetsbyrån rapporterade att ransomware-gruppen inte lämnade en lösensumma och inte hade ett lätt identifierbart namn.
Säkerhet
Hackare fick på något sätt sitt rootkit en Microsoft-utgiven digital signatur Detta monster av en nätfiskekampanj är ute efter dina lösenord SolarWinds hackare Nobelium för att slå globala IT-försörjningskedjor igen, varnar Microsoft Hackare döljer sin skadliga JavaScript-kod med ett svårslagen trick Microsoft Teams: Dina videosamtal har precis fått en stor säkerhet boost Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Data Management Security TV CXO Data Centers 