APP下载

出帐管理系统的漏洞,竟成为骇客入侵的管道,并借此发动勒索软件攻击

消息来源:baojiabao.com 作者: 发布时间:2024-11-25

报价宝综合消息出帐管理系统的漏洞,竟成为骇客入侵的管道,并借此发动勒索软件攻击
图片来源: 

Huntress

骇客锁定的攻击目标,不光只是针对组织常见的商用软件、操作系统下手,也有可能朝企业财务管理软件而来。例如,资安业者Huntress发现一起美国工程公司遭到勒索软件攻击的事故,而骇客入侵该公司的管道,就是BQE出帐系统的SQL注入漏洞CVE-2021-42258。

BQE是专门开发企业财务管理系统的澳洲软件公司,号称有超过40万客户使用他们的产品。而这项SQL漏洞存在于名为BillQuick Web Suite当中,该公司获报后,于10月7日发布22.0.9.1版予以修补。

对于这个漏洞带来的影响,Huntress指出,一旦攻击者利用这项SQL注入漏洞,不只可以存取BillQuick服务器的资料,还能在Windows服务器上执行恶意指令。而且,要触发这项漏洞的难度并不高,研究人员表示,他们只在该系统的登入页面上输入单引号,就会出现SQL数据库的错误讯息,进而发现这项漏洞。

至于滥用上述漏洞的攻击者身份为何?资安新闻网站Bleeping Computer取得Huntress研究人员Caleb Stewart的说法指出,他们基于攻击者的手法与大型骇客组织明显不同,研判这是小型的骇客组织所为。此外,研究人员也在10月8日到10日,再度观察到滥用此BillQuick系统的攻击行动。

除了这次解析的CVE-2021-42258,研究人员透露,他们另外发现了8个漏洞,同样能作为攻击者入侵组织的管道。不过,BQE表示,这些漏洞的修补程式仍在制作当中。

2021-10-28 19:47:00

相关文章