神魂顛倒論壇

 取回密碼
 加入會員
搜尋
檢視: 2773|回覆: 0
收起左側

[安全資訊] 出帳管理系統的漏洞,竟成為駭客入侵的管道

[複製連結]
發表於 2021-10-29 11:52:29 | 顯示全部樓層 |閱讀模式
出帳管理系統的漏洞,竟成為駭客入侵的管道,並藉此發動勒索軟體攻擊

billquick-cve-2021-42258-rce-w_0.png

資安業者Huntress揭露SQL注入漏洞CVE-2021-42258,該漏洞存在於BQE推出的出帳管理系統BillQuick Web Suite,值得留意的是,此漏洞已被用於實際攻擊行動

BQE是專門開發企業財務管理系統的澳洲軟體公司,號稱有超過40萬客戶使用他們的產品。而這項SQL漏洞存在於名為BillQuick Web Suite當中,該公司獲報後,於10月7日發布22.0.9.1版予以修補。

對於這個漏洞帶來的影響,Huntress指出,一旦攻擊者利用這項SQL注入漏洞,不只可以存取BillQuick伺服器的資料,還能在Windows伺服器上執行惡意指令。而且,要觸發這項漏洞的難度並不高,研究人員表示,他們只在該系統的登入頁面上輸入單引號,就會出現SQL資料庫的錯誤訊息,進而發現這項漏洞。

至於濫用上述漏洞的攻擊者身分為何?資安新聞網站Bleeping Computer取得Huntress研究人員Caleb Stewart的說法指出,他們基於攻擊者的手法與大型駭客組織明顯不同,研判這是小型的駭客組織所為。此外,研究人員也在10月8日到10日,再度觀察到濫用此BillQuick系統的攻擊行動。

詳細報導



您需要登入後才可以回帖 登入 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|Flash2u論壇

GMT+8, 2024-11-24 07:35 , Processed in 0.028068 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回覆 回到頂端 返回清單