Posté le octobre 27, 2021 à 21:08
DES CHERCHEURS DÉCOUVRENT DES EXPLOITS ACTIFS SUR LE SERVEUR DE FACTURATION BILLQUICK
Les chercheurs de Huntress Labs ont découvert des exploits actifs sur un bug critique d’injection SQL dans plusieurs versions du système de facturation BillQuick. Le rapport note que les hackers déploient des ransomwares pour infiltrer le système de facturation.
Bien que la vulnérabilité critique ait été corrigée, elle a permis aux hackers de voler des données sensibles sur la plateforme de facturation.
La vulnérabilité est facilement exploitée par les hackers
Le système de facturation BillQuick est un logiciel de gestion de projet doté de plusieurs fonctionnalités, telles que la comptabilisation du temps, le suivi du temps et les fonctions de facturation. L’entreprise affirme que la plateforme compte plus de 400 000 utilisateurs dans le monde entier.
Les chercheurs ont noté que la vulnérabilité, nommée CVE-2021-42258, ne présente aucun défi difficile pour le hacker en termes d’exploitation. Tout ce qu’ils ont à faire est d’envoyer des demandes de connexion en utilisant des caractères non valides dans le champ du nom d’utilisateur.
Les chercheurs ont également découvert que les alertes de l’antivirus Microsoft Defender indiquent des activités malveillantes comme le compte de service MSSQLSERVER$. Cela montre qu’une application web peut être activement exploitée et compromise.
Huntress Labs a déclaré avoir alerté les développeurs de leur découverte le 7 octobre. La société a ensuite publié un correctif pour la faille, mais les utilisateurs qui n’ont pas mis à jour leurs systèmes sont toujours vulnérables.
De plus, l’entreprise n’a pas encore corrigé 8 autres vulnérabilités, ce qui expose de nombreux utilisateurs à un risque d’exploitation.
Les chercheurs en sécurité de Huntress ont déclaré avoir réussi à recréer l’attaque par injection et à comprendre comment les hackers peuvent exploiter cette faiblesse. L’équipe de recherche a ajouté que les hackers peuvent accéder aux données BillQuick des utilisateurs et « exécuter des commandes malveillantes sur leurs serveurs Windows sur site ».
« Nous avons été en contact étroit avec l’équipe de BQE pour les informer de cette vulnérabilité », a noté l’équipe de recherche. Ils ont déclaré que BillQuick travaille à résoudre la série de problèmes qu’ils ont soulevés concernant la sécurité de la plateforme et de ses offres principales.
Les hackers ont agi de manière indépendante
Les chercheurs de Huntress ont également affirmé que les hackers ne semblaient pas travailler avec un groupe de hackers populaire ou soutenu par un État. Et d’après leurs activités et leur comportement avant et après l’exploitation, il s’agit de petits acteurs par rapport aux hackers plus confirmés et expérimentés.
Un chercheur en sécurité de Huntress Labs, Caleb Stewart, a déclaré que BQE a été largement réactif pendant toute cette période. Cependant, l’incidence est une autre indication de l’importance des logiciels de sécurité utilisés par les petites et moyennes entreprises.
« Cet incident met en évidence un schéma récurrent qui affecte les logiciels pour PME », a noté M. Stewart. Il montre que les fournisseurs de logiciels ne font pas assez d’efforts pour fournir une sécurité accrue de manière proactive. De plus, ils n’exercent pas une pression suffisante sur leurs clients pour qu’ils assument une responsabilité élevée lorsque des données vitales sont exposées.
Les chercheurs en sécurité ont expliqué que le bogue d’injection SQL a été récemment exploité et utilisé pour cibler une organisation américaine dont l’identité n’a pas été révélée.
Il est conseillé aux clients d’appliquer immédiatement les mises à jour
La vulnérabilité, qui permet l’exécution de code à distance (RCE), a été exploitée avec succès pour obtenir un accès préalable et lancer une attaque par ransomware.
Les chercheurs ont ajouté que, sur la base des problèmes qu’ils ont découverts, d’autres hackers pourraient lancer des exploitations supplémentaires sur les systèmes. Pour éviter qu’une telle exploitation ne devienne un succès, les clients du système de facturation BillQuick ont été invités à exécuter les mises à jour dès que possible. La société doit également accélérer la publication de correctifs pour d’autres vulnérabilités qui sont toujours une source de risques et d’exposition pour les clients.
Huntress Labs pense que le ransomware développé et utilisé par les hackers a été vu pour la première fois dans la nature en mai 2020. En outre, il présente des caractéristiques similaires à celles des ransomwares de type AutoIT.
Lorsqu’il est installé avec succès dans le système de la victime, il envoie l’extension pusheken91@bk.ru à tous les fichiers cryptés.
Les organisations sont invitées à renforcer la sécurité les jours non ouvrables
Le CISA et le FBI ont récemment mis en garde les organisations contre la recrudescence des attaques par ransomware. Les agences leur ont conseillé de renforcer leurs réseaux de sécurité contre les acteurs de la menace, en particulier pendant les week-ends ou les jours fériés, période que les hackers estiment être la plus vulnérable pour lancer des attaques.
Selon M. Stewart, les conclusions de l’équipe de recherche ont montré que le hacker envoie des requêtes postales depuis une IP étrangère. Cette action répétée a conduit à l’infiltration initiale a ajouté Stewart.
Les menaces de ransomware sur les grandes et moyennes entreprises sont devenues plus courantes, et les chercheurs de Huntress demandent aux organisations d’en faire plus que ce qu’elles font actuellement en matière de sécurité.
