聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

某勒索软件组织正在利用 BillQuick Web Suite 计费软件中的SQL 注入 0day 在目标网络中部署勒索软件。该严重 0day 的编号为CVE-2021-42258，通过在用户名字段中含有无效字符（单引号）的登录请求即可被触发。

该计费软件所属公司为 BQE Software，据称拥有40万名客户遍布全球。

Huntress Labs 研究团队在10月7日发现了这个0day 并告知 BQE Software 公司。然而，研究人员还从中发现了可用于初始访问/代码执行的其它8个0day，这些0day 尚未修复，它们是：CVE-2021-42344、CVE-2021-42345、CVE-2021-42346、CVE-2021-42571、CVE-2021-42572、CVE-2021-42573、CVE-2021-42741和CVE-2021-42742。

未修复的 BillQuick 服务器用于入侵工程公司

研究人员指出，“团队成功地重现了该SQL注入攻击，并确认黑客可借此访问客户的 BillQuick 数据并在本地 Windows 服务器上运行恶意命令。我们已知在和BQE团队紧密合作，评估在 WebSuite 2021 版本22.0.9.1中的代码变更，解决我们在 BillQuick和 Core 服务中找到的多个安全问题。”

研究人员指出，攻击启动后，易受攻击的 BillQuick 服务器成为访问一家美国工程公司网络的入口点，导致该公司的系统被加密。

研究人员 Caleb Stewart表示，“我们发现的行动者不同于任何已知的/大型的威胁行动者。我个人认为，从利用中和利用后的行为来看，这个威胁者规模更小。然而，从所找到或发现的问题来看，我认为其它组织可能还会实施进一步的利用。我们在2021年10月8日至10日检测到了攻击活动。”

至少活跃于2020年5月

目前尚不清楚幕后的勒索团伙身份，其操纵者也并未留下勒索留言要求受害者缴纳赎金换取解密密钥。另外也不清楚该勒索软件是否被用作掩盖其它恶意活动的诱饵，如数据盗取；也不清楚受害者是否需要向其发送邮件。

BleepingComputer发现勒索软件至少在2020年5月就已经在使用，而且它大量借用了其它基于 AutoIT 的勒索软件家族的代码。一旦被部署在目标系统上，该勒索软件将在所有加密文件后添加 pusheken91@bk.ru 扩展，但如之前所述，该勒索团伙并未留下勒索留言。攻击者使用这种方法的原因可能是附加的扩展本身就提示了受害者需要发送邮件询问如何恢复数据。

8月，FBI和 CISA 就发布联合公告称，不要在周末或节假日放松对勒索软件的防御措施。这两家联网政府机构表示，“观测到在节假日和周末，美国发生具有重大影响的勒索攻击事件在增长，比如在2021年的7月4日独立日发生的勒索事件就是如此。”

推荐阅读

SolarWinds 攻击者开发的新后门 FoggyWeb

微软发现已遭在野利用的 SolarWinds 新0day

微软称 SolarWinds 黑客还在继续攻击 IT 企业

微软：SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府

Node.js 沙箱易受原型污染攻击

攻击者接管账户，攻陷周下载量超700万次的JavaScript 流行库 ua-parser-js

微软十月补丁星期二值得关注的0day及其它

Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day

尽快更新！Chrome 修复两个已遭在野利用的 0day

苹果修复已遭在野利用的 iOS 和 macOS 0day

原文链接

https://www.bleepingcomputer.com/news/security/hackers-used-billing-software-zero-day-to-deploy-ransomware/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~