Aplikasi Penagihan BQE Web Suite Dicurangi untuk Menimbulkan Ransomware

Pelaku
Threat telah tertangkap mengeksploitasi kerentanan kritis zero-day (sekarang ditambal) dalam sistem jam dan penagihan populer, untuk mengambil alih server yang rentan dan menyerang jaringan perusahaan dengan ransomware.

Ditemukan oleh Huntress Labs awal bulan ini, fokus serangan yang sedang berlangsung pada bug injeksi SQL di BQE Web Suite dari BQE Software.

102621 08:41 PEMBARUAN: BQE mengklarifikasi bahwa kerentanan memengaruhi pelanggan BQE Web Suite, bukan pelanggan BillQuick Web Suite, dan referensi Huntress ke BillQuick tidak akurat.
102621 09 :15 PEMBARUAN: Seorang juru bicara memberi tahu Threatpost bahwa beberapa pelanggan BQE menjalankan platform BillQuick melalui cloud dan yang lainnya menjalankannya di lokasi. Aplikasi di tempat dijalankan menggunakan produk BQE Web Suite, yang merupakan produk dengan kerentanan. Terlepas dari berapa banyak tajuk utama – termasuk tajuk asli Threatpost, sejak dikoreksi – kutip BillQuick, pelanggan yang menjalankan versi cloud, pada kenyataannya, tidak terpengaruh oleh kerentanan.

“Peretas berhasil mengeksploitasi CVE-2021-42258 – menggunakannya untuk mendapatkan akses awal ke perusahaan teknik AS – dan menyebarkan ransomware di seluruh jaringan korban,” Caleb Stewart, peneliti keamanan untuk Huntress Labs, mengatakan dalam sebuah posting hari Jumat. Injeksi

SQL adalah jenis serangan yang memungkinkan penyerang cyber untuk mengganggu query yang dibuat aplikasi ke database-nya. Serangan ini biasanya dilakukan dengan memasukkan pernyataan SQL berbahaya ke dalam kolom entri yang digunakan oleh situs web (seperti kolom komentar).

Attackers menggunakan kerentanan injeksi SQL, yang memungkinkan eksekusi kode jarak jauh (RCE), untuk mendapatkan akses awal ke perusahaan teknik yang tidak disebutkan namanya.

BQE mengklaim memiliki basis pengguna lebih dari 400.000 pengguna di seluruh dunia, termasuk apa yang digambarkan perusahaan sebagai “arsitek, insinyur, akuntan, pengacara, spesialis TI, dan konsultan bisnis terkemuka”. , tidak terlalu bagus untuk kampanye jahat yang menargetkan basis pelanggannya, kata Huntress Labs.

Warning Bells

Stewart mengatakan bahwa indra spidey Huntress mulai tergelitik setelah beberapa yang disebut “file kenari” ransomware tersandung. Itu adalah file yang disiapkan oleh penyedia layanan terkelola (MSP) Huntress untuk memicu peringatan jika mereka diubah, dipindahkan, atau dihapus — kenari di tambang batu bara.

File berada di perusahaan teknik yang dikelola oleh salah satu MSP Huntress. Setelah penyelidikan, analis Huntress menemukan peringatan antivirus Microsoft Defender di akun layanan MSSQLSERVER$, menunjukkan bahwa aktor ancaman mungkin telah mengeksploitasi aplikasi web untuk mendapatkan akses awal.

Signs menunjuk ke IP asing yang menusuk server hosting BillQuick, Stewart menjelaskan: Server yang dimaksud menghosting BillQuick Web Suite 2020 (WS2020), dan log koneksi menunjukkan IP asing berulang kali mengirim permintaan POST ke titik akhir masuk server web, yang mengarah ke kompromi awal. BQE Web Suite, sehingga para penelitinya mulai merekayasa balik aplikasi web untuk melacak langkah penyerang. Mereka berhasil membuat ulang serangan injeksi SQL, mengonfirmasi bahwa pelaku ancaman dapat menggunakannya untuk mengakses data penagihan pelanggan dan menjalankan perintah jahat di server Windows lokal.

Bug Dapat Dipicu dengan Karakter Tunggal

Huntress mengatakan bahwa memicu Kerentanan injeksi SQL sangat sederhana: Yang harus Anda lakukan adalah mengirimkan permintaan login dengan karakter yang tidak valid di bidang nama pengguna. “Cukup menavigasi ke halaman login dan memasukkan satu kutipan (') dapat memicu bug ini,” menurut analisis. “Selanjutnya, penangan kesalahan untuk halaman ini menampilkan pelacakan balik penuh, yang dapat berisi informasi sensitif tentang kode sisi server.” Penyelidikan

Huntress menemukan bahwa masalahnya terletak pada kueri SQL yang digabungkan. Proses penggabungan – yaitu, menggabungkan dua string bersama – mengarah ke injeksi SQL, apakah itu karena input yang salah disaring atau salah ketik.

“Pada dasarnya, fungsi ini memungkinkan pengguna untuk mengontrol permintaan yang dikirim ke database MSSQL –yang dalam hal ini, memungkinkan injeksi SQL buta melalui formulir login utama aplikasi,” jelas Stewart.

Dengan kata lain, pengguna yang tidak sah dapat mengeksploitasi kerentanan untuk membuang konten database MSSQL yang digunakan oleh BQE Web Suite atau untuk RCE, yang dapat menyebabkan untuk penyerang yang mendapatkan kendali atas seluruh server.

Huntress memberi tahu BQE tentang bug tersebut, dan memperbaikinya. Tetapi Huntress menjaga detail bug lainnya tetap dekat dengan rompi sementara menilai apakah perubahan kode yang diterapkan dalam pembaruan, WebSuite 2021 versi 22.0.9.1 – dirilis pada 7 Oktober – efektif. Itu juga masih bekerja dengan BQE untuk mengatasi “beberapa masalah keamanan” yang diajukan Huntress atas produk BillQuick dan Core perusahaan.

Delapan Bug Keamanan Lebih Banyak

Secara khusus, ini adalah bug lain yang ditemukan oleh Huntress yang sekarang menunggu patch:

    CVE-2021-42344

    CVE-2021 -42345

    CVE-2021-42346

    CVE-2021-42571

    CVE-2021-42572

    CVE-2021-42573

    CVE-2021-42741

    CVE-2021-42742

102621 08:36 UPDATE: BQE memberi tahu Threatpost bahwa masalah dengan pelanggan Web Suite dan BQE mengetahui masalah tersebut mencatat bahwa kerentanan telah ditambal. Sehubungan dengan kerentanan tambahan yang diidentifikasi oleh Huntress, perusahaan secara aktif menyelidiki dan mengharapkan patch jangka pendek untuk kerentanan BQE Web Suite akan diterapkan pada akhir hari, Selasa, 26 Oktober, bersama dengan garis waktu kapan perbaikan penuh akan diterapkan.

Perusahaan mengetahui ada dua pelanggan yang terpengaruh. Pernyataannya berlanjut: “Sepengetahuan kami, masalah dengan BQE Web Suite hanya memengaruhi dua pelanggan kami; kami akan secara proaktif mengomunikasikan kepada sisa pelanggan BQE Web Suite kami tentang keberadaan masalah ini, kapan mereka dapat mengharapkan masalah tersebut diselesaikan, dan langkah apa yang dapat mereka ambil untuk sementara untuk meminimalkan paparan mereka.”

BQE mengklarifikasi bahwa kerentanan hanya memengaruhi pelanggan BQE Web Suite, bukan pelanggan BillQuick Web Suite.

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

%d bloggers like this: