圖片來源: 

Huntress

駭客鎖定的攻擊目標,不光只是針對組織常見的商用軟體、作業系統下手,也有可能朝企業財務管理軟體而來。例如,資安業者Huntress發現一起美國工程公司遭到勒索軟體攻擊的事故,而駭客入侵該公司的管道,就是BQE出帳系統的SQL注入漏洞CVE-2021-42258。

BQE是專門開發企業財務管理系統的澳洲軟體公司,號稱有超過40萬客戶使用他們的產品。而這項SQL漏洞存在於名為BillQuick Web Suite當中,該公司獲報後,於10月7日發布22.0.9.1版予以修補

對於這個漏洞帶來的影響,Huntress指出,一旦攻擊者利用這項SQL注入漏洞,不只可以存取BillQuick伺服器的資料,還能在Windows伺服器上執行惡意指令。而且,要觸發這項漏洞的難度並不高,研究人員表示,他們只在該系統的登入頁面上輸入單引號,就會出現SQL資料庫的錯誤訊息,進而發現這項漏洞。

至於濫用上述漏洞的攻擊者身分為何?資安新聞網站Bleeping Computer取得Huntress研究人員Caleb Stewart的說法指出,他們基於攻擊者的手法與大型駭客組織明顯不同,研判這是小型的駭客組織所為。此外,研究人員也在10月8日到10日,再度觀察到濫用此BillQuick系統的攻擊行動。

除了這次解析的CVE-2021-42258,研究人員透露,他們另外發現了8個漏洞,同樣能作為攻擊者入侵組織的管道。不過,BQE表示,這些漏洞的修補程式仍在製作當中。

熱門新聞

Advertisement