出帐管理系统的漏洞，竟成为骇客入侵的管道，并借此发动勒索软件攻击

骇客锁定的攻击目标，不光只是针对组织常见的商用软件、操作系统下手，也有可能朝企业财务管理软件而来。例如，资安业者Huntress发现一起美国工程公司遭到勒索软件攻击的事故，而骇客入侵该公司的管道，就是BQE出帐系统的SQL注入漏洞CVE-2021-42258。

BQE是专门开发企业财务管理系统的澳洲软件公司，号称有超过40万客户使用他们的产品。而这项SQL漏洞存在于名为BillQuick Web Suite当中，该公司获报后，于10月7日发布22.0.9.1版予以修补。

对于这个漏洞带来的影响，Huntress指出，一旦攻击者利用这项SQL注入漏洞，不只可以存取BillQuick服务器的资料，还能在Windows服务器上执行恶意指令。而且，要触发这项漏洞的难度并不高，研究人员表示，他们只在该系统的登入页面上输入单引号，就会出现SQL数据库的错误讯息，进而发现这项漏洞。

至于滥用上述漏洞的攻击者身份为何？资安新闻网站Bleeping Computer取得Huntress研究人员Caleb Stewart的说法指出，他们基于攻击者的手法与大型骇客组织明显不同，研判这是小型的骇客组织所为。此外，研究人员也在10月8日到10日，再度观察到滥用此BillQuick系统的攻击行动。

除了这次解析的CVE-2021-42258，研究人员透露，他们另外发现了8个漏洞，同样能作为攻击者入侵组织的管道。不过，BQE表示，这些漏洞的修补程式仍在制作当中。