上周五，网络安全研究人员披露了一个名为BillQuick的时间和计费系统的多个版本中存在的严重漏洞，目前该漏洞已被修复，威胁分子正积极利用该漏洞在脆弱的系统上部署勒索软件。

美国网络安全公司Huntress Labs表示，CVE-2021-42258漏洞涉及一种基于sql的注入攻击，允许远程执行代码，并成功获得了对一家未透露姓名的美国工程公司的初始访问权，并发起了勒索软件攻击。

虽然BQE软件已经解决了这个问题，但调查中发现的其他8个未公开的安全问题还没有得到修复。据其网站显示，BQE软件的产品在全球有40万用户使用。

“黑客可以利用它访问客户的BillQuick数据，并在他们的本地Windows服务器上运行恶意命令，” Huntress Labs 威胁研究员Caleb Stewart在一篇文章中称。

“这一事件突显了困扰SMB软件的重复模式:成熟的供应商在主动保护其应用程序方面做得很少，当敏感数据不可避免地泄露和/或被勒索时，将使他们的不知情客户承担重大责任。”

从本质上讲，该漏洞源于BillQuick Web Suite 2020构建SQL数据库查询的方式，使攻击者能够通过应用程序的登录表单注入特制的SQL，可用于在底层 Windows操作系统上远程生成命令shell并实现代码执行，而反过来,是由于软件是以“系统管理员”用户的身份运行的。

“黑客总是在寻找容易被利用的缺陷和漏洞——他们并不总是在像Office这样的‘大’主流应用程序中闲逛，” Stewart表示。

有时候，一个生产力工具甚至一个附加组件都可能成为黑客进入某个环境并实施下一步行动的大门。

随着现在软件供应链模式已成为主流，任何一个软件安全漏洞都可能导致不可计数的企业遭到攻击。数据显示，90%的网络攻击事件都与漏洞利用相关，由此可见安全漏洞在网络攻击中起到至关重要的作用。而企业在软件开发过程中使用静态代码检测工具可以减少30%到70%的安全漏洞，因此随着网络安全形式愈发严峻，为了确保网络安全应从源头代码做好安全检测，以减少软件安全漏洞筑牢网络安全根基。

参读链接：

https://thehackernews.com/2021/10/hackers-exploited-popular-billquick.html

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课