BillQuick Billing Software のリモート SQL インジェクションの脆弱性

Hackers Exploited Popular BillQuick Billing Software to Deploy Ransomware

2021/10/25 TheHackerNews — この金曜日に、サイバーセキュリティ研究者たちは、BillQuick という Time and Billing システムの複数のバージョンに存在する、現在パッチが適用されている深刻な脆弱性の情報を公開した。

米国のサイバーセキュリティ企業である Huntress Labs によると、脆弱性 CVE-2021-42258は SQL インジェクション攻撃により、リモートからコードが実行される問題を含んでいる。この脆弱性を利用して、米国の無名のエンジニアリング企業に初期アクセスを行い、ランサムウェア攻撃が行われたと述べている。

この問題は、10月7日に BQE Software がリリースした BillQuick Ver 22.0.9.1 で対処されているが、調査の一環として確認された他の8つの非公開のセキュリティ問題については、まだパッチが適用されていない。同社の Web サイトによると、BQE Software の製品は全世界で40万人のユーザーに利用されているという。

Huntress Labs の脅威研究者である Caleb Stewart は、「ハッカーは、この脆弱性を利用して顧客の BillQuick データにアクセスし、オンプレミスの Windows サーバー上で悪意のコマンドを実行できる。このインシデントは、SMB ソフトウェアを悩ませる繰り返しのパターンを浮き彫りにしている。つまり、定評のあるベンダーは、自社のアプリケーションを積極的に保護することに消極的であり、機密データの漏洩や、身代金の要求などにより、無意識のうちに顧客に大きな責任を負わせている」と述べている。

基本的に、この脆弱性は BillQuick Web Suite 2020 の SQL データベース・クエリの構築方法に起因しており、攻撃者はアプリケーションのログインフォームを介して、特別に作成した SQL を注入することが可能となっている。この SQL インジェクションにより、リモートから Windows 上でコマンドシェルを起動し、コードを実行することができ。

Caleb Stewart は、「ハッカーは、攻撃の対象となる脆弱性を常に探しており、Office のようなメジャー・アプリケーションを狙うとは限らない。生産性向上のためのツールやアドオンが、ハッカーが環境に不正アクセスして、次の行動を起こすためのドアになることもある」と述べている。

BillQuick という請求や支払いに関するサービスは、40万人に使われると文中に記されていますが、企業数としてはどれくらいなのでしょうかね? こういうサービスに SQL インジェクションという脆弱性があり、それが悪用されると、たいへんな事になります。Solawinds および Kaseya で検索すると、被害の実態が見えてきます。

%d bloggers like this: