BillQuick har sagt at en kortsiktig oppdatering vil bli utgitt som adresserer noen av sårbarhetene identifisert denne helgen av cybersikkerhetsfirmaet Huntress.
I et blogginnlegg på fredag sa Huntress-sikkerhetsforsker Caleb Stewart at selskapets ThreatOps-team “oppdaget en kritisk sårbarhet i flere versjoner av BillQuick Web Suite, et tids- og faktureringssystem fra BQE Software.”
“Hackere var i stand til å utnytte CVE-2021-42258 – ved å bruke den til å få tilgang til et amerikansk ingeniørfirma – og distribuere løsepengevare på tvers av offerets nettverk. Tatt i betraktning BQEs selverklærte brukerbase på 400 000 brukere over hele verden, en ondsinnet kampanje å målrette kundebasen deres er bekymringsfullt,” sa Stewart.
“Denne hendelsen fremhever et gjentatt mønster som plager SMB-programvare: veletablerte leverandører gjør svært lite for å proaktivt sikre applikasjonene sine og utsetter sine uvitende kunder for betydelig ansvar når sensitive data uunngåelig lekkes og/eller løses ut. «
Huntress fant også åtte andre sårbarheter: CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-422741, CVE-425741, CVE-425741 -2021-42742.
I en uttalelse til ZDNet sa BQE Software at ingeniørteamet deres er klar over problemene med BillQuick Web Suite, som kunder bruker til å være vert for BillQuick, og sa at sårbarheten har blitt rettet.
“Huntress identifiserte også ytterligere sårbarheter, som vi aktivt har undersøkt. Vi forventer at en kortsiktig oppdatering til BQE Web Suite-sårbarhetene vil være på plass innen slutten av dagen 26.10.2021 sammen med en fast tidslinje for når en fullstendig løsning vil bli implementert,” la talspersonen til.
“Problemet med BQE Web Suite påvirker færre enn 10 % av kundene våre; vi vil proaktivt kommunisere til hver av dem om eksistensen av disse problemene, når de kan forvente at problemene blir løst, og hva skritt de kan ta i mellomtiden for å minimere eksponeringen.”
Huntress forklarte hvordan de klarte å gjenskape det SQL-injeksjonsbaserte angrepet, som de viste kan brukes til å få tilgang til kundenes BillQuick-data og kjøre ondsinnede kommandoer på deres lokale Windows-servere.
Huntress sa at det fungerte med BQE Software om problemet og berømmet selskapet for å være responsivt samtidig som de tok problemene på alvor.
Men blogginnlegget bemerker at feilen lett kan utløses ved å “bare å navigere til påloggingssiden og gå inn på en enkelt anførselstegn (`'`).”
“Videre viser feilbehandlerne for denne siden en fullstendig tilbakesporing, som kan inneholde sensitiv informasjon om serversidekoden,” skrev Stewart.
CVE-2021-42258 ble oppdatert av BQE Software 7. oktober i WebSuite 2021 versjon 22.0.9.1. Men de åtte andre problemene trenger fortsatt oppdateringer.
Stewart fortalte BleepingComputer at ikke navngitte hackere brukte CVE-2021-42258 som et inngangspunkt til det amerikanske ingeniørselskapet som en del av et løsepenge-angrep som fant sted over Columbus Day-helgen. Nyhetsbyrået rapporterte at løsepengevaregruppen ikke la igjen en løsepengenotat og ikke hadde et lett identifiserbart navn.
Sikkerhet
Hackere fikk på en eller annen måte rootsettet sitt en Microsoft-utstedt digital signatur Dette monsteret av en phishing-kampanje er ute etter passordene dine SolarWinds-hackere Nobelium skal slå globale IT-forsyningskjeder igjen, Microsoft advarer Hackere skjuler sin ondsinnede JavaScript-kode med et vanskelig triks Microsoft Teams: Videosamtalene dine har nettopp fått en stor sikkerhet boost Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene
Relaterte emner:
Data Management Security TV CXO Data Centers 