Threat telah tertangkap mengeksploitasi kerentanan kritis zero-day (sekarang ditambal) dalam sistem jam dan penagihan populer, untuk mengambil alih server yang rentan dan menyerang jaringan perusahaan dengan ransomware.
Ditemukan oleh Huntress Labs awal bulan ini, fokus serangan yang sedang berlangsung pada bug injeksi SQL di BillQuick Web Suite dari BQE Software.
“Peretas berhasil mengeksploitasi CVE-2021-42258 – menggunakannya untuk mendapatkan akses awal ke perusahaan teknik AS – dan menyebarkan ransomware di seluruh jaringan korban,” Caleb Stewart, peneliti keamanan untuk Huntress Labs, mengatakan dalam posting hari Jumat. Injeksi
SQL adalah jenis serangan yang memungkinkan penyerang siber mengganggu kueri yang dibuat aplikasi ke databasenya. Serangan ini biasanya dilakukan dengan memasukkan pernyataan SQL berbahaya ke dalam kolom entri yang digunakan oleh situs web (seperti kolom komentar).
Attackers menggunakan kerentanan injeksi SQL, yang memungkinkan eksekusi kode jarak jauh (RCE), untuk mendapatkan akses awal ke perusahaan teknik yang tidak disebutkan namanya.
BQE mengklaim memiliki basis pengguna lebih dari 400.000 pengguna di seluruh dunia, termasuk apa yang digambarkan perusahaan sebagai "arsitek, insinyur, akuntan, pengacara, spesialis TI, dan konsultan bisnis terkemuka". , tidak terlalu bagus untuk kampanye jahat yang menargetkan basis pelanggannya, kata Huntress Labs.
Warning Bells
Stewart mengatakan bahwa indra spidey Huntress mulai tergelitik setelah beberapa yang disebut "file kenari" ransomware tersandung. Itu adalah file yang disiapkan oleh penyedia layanan terkelola (MSP) Huntress untuk memicu peringatan jika mereka diubah, dipindahkan, atau dihapus — kenari di tambang batu bara.
File berada di perusahaan teknik yang dikelola oleh salah satu MSP Huntress. Setelah penyelidikan, analis Huntress menemukan peringatan antivirus Microsoft Defender di akun layanan MSSQLSERVER$, menunjukkan bahwa aktor ancaman mungkin telah mengeksploitasi aplikasi web untuk mendapatkan akses awal.
Signs menunjuk ke IP asing yang menusuk server hosting BillQuick, Stewart menjelaskan: Server yang dimaksud menghosting BillQuick Web Suite 2020 (WS2020), dan log koneksi menunjukkan IP asing berulang kali mengirim permintaan POST ke titik akhir masuk server web, yang mengarah ke kompromi awal. BillQuick, sehingga para penelitinya mulai merekayasa balik aplikasi web untuk melacak langkah penyerang. Mereka berhasil membuat ulang serangan injeksi SQL, mengonfirmasi bahwa pelaku ancaman dapat menggunakannya untuk mengakses data BillQuck pelanggan dan menjalankan perintah jahat di server Windows lokal.
Bug Dapat Dipicu dengan Karakter Tunggal
Huntress mengatakan bahwa memicu Kerentanan injeksi SQL sangat sederhana: Yang harus Anda lakukan adalah mengirimkan permintaan login dengan karakter yang tidak valid di bidang nama pengguna. "Cukup menavigasi ke halaman login dan memasukkan satu kutipan (
') dapat memicu bug ini," menurut analisis. “Selanjutnya, penangan kesalahan untuk halaman ini menampilkan pelacakan balik penuh, yang dapat berisi informasi sensitif tentang kode sisi server.” Penyelidikan Huntress menemukan bahwa masalahnya terletak pada kueri SQL yang digabungkan. Proses penggabungan – yaitu, menggabungkan dua string bersama – mengarah ke injeksi SQL, apakah itu karena input yang salah disaring atau salah ketik.
“Pada dasarnya, fungsi ini memungkinkan pengguna untuk mengontrol permintaan yang dikirim ke database MSSQL –yang dalam hal ini, mengaktifkan injeksi SQL buta melalui formulir login utama aplikasi,” Stewart menjelaskan.
Dengan kata lain, pengguna yang tidak sah dapat mengeksploitasi kerentanan untuk membuang konten database MSSQL yang digunakan oleh aplikasi BillQuick atau untuk RCE, yang dapat menyebabkan untuk penyerang yang mendapatkan kendali atas seluruh server.
Huntress memberi tahu BQE tentang bug tersebut, dan memperbaikinya. Tapi Huntress menjaga detail bug lainnya dekat dengan rompi sementara menilai apakah perubahan kode yang diterapkan dalam pembaruan BillQuick, WebSuite 2021 versi 22.0.9.1 – dirilis pada 7 Oktober – efektif. Ini juga masih bekerja dengan BQE untuk mengatasi "beberapa masalah keamanan" yang diajukan Huntress atas produk BillQuick dan Core perusahaan.
Delapan Bug Keamanan BillQuick Lainnya
Secara khusus, ini adalah bug lain yang ditemukan oleh Huntress yang sekarang menunggu patch:
- CVE-2021-42344CVE- 2021-42345CVE-2021-42346CVE-2021-42571CVE-2021-42572CVE-2021-42573CVE-2021-42741CVE-2021-42742
Huntress dilaporkan memperingatkan pelanggan yang masih menjalankan BillQuick Web Suite 2018 hingga 2021 v22.0.9.0 untuk memperbarui billing suites mereka. Threatpost menghubungi BQE untuk mengetahui berapa banyak pengguna yang telah menjadi target dalam kampanye ransomware dan ransomware mana yang sedang dimainkan, dan akan memperbarui cerita ini jika kami mendengarnya kembali.
