BillQuick Web Suite의 SQL 인젝션 취약점, 랜섬웨어 배포에 악용돼

 

Unknown ransomware gang uses SQL injection bug in BillQuick Web Suite to deploy ransomware

 

익명의 랜섬웨어 그룹이 CVE-2021-42258로 등록된 치명적인 SQL 인젝션 취약점을 악용하고 있는 것으로 나타났습니다.

 

이 공격은 보안 회사 Huntress의 연구원들이 처음으로 발견해 이번 달에 익스플로잇을 시연했습니다.

 

랜섬웨어 그룹은 CVE-2021-42258 취약점을 악용해 미국 엔지니어링 회사의 컴퓨터 네트워크에 접근 후 랜섬웨어를 배포했습니다.

 

BQE는 전 세계적으로 400,000명의 사용자 기반을 보유하고 있다고 광고하고 있습니다. 따라서 전문가들은 이번 공격에 긴장한 상태입니다.

 

Huntress Labs에서는 아래와 같이 언급했습니다.

 

"해커는 CVE-2021-42258을 성공적으로 악용해 미국 엔지니어링 회사에 초기 액세스 권한을 얻어 피해자의 네트워크에 랜섬웨어를 배포할 수 있었습니다."

 

"우리 팀은 이 SQL 인젝션을 기반으로 한 공격을 성공적으로 재현할 수 있었고, 해커가 이를 통해 고객의 BillQuick 데이터에 접근하고 온프레미스 윈도우 서버에서 악성 명령을 실행할 수 있음을 확인했습니다.”

 

연구원들은 공격자가 취약점을 촉발시키기 위해 로그인 페이지로 이동해 작은따옴표(`'`)를 입력할 수 있음을 시연했습니다. 또한 이 페이지의 오류 처리기가 서버 측 코드에 대한 민감한 정보를 포함할 수 있는 전체 역추적을 표시한다는 사실을 알아냈습니다.

 

 

<이미지 출처: https://www.huntress.com/blog/threat-advisory-hackers-are-exploiting-a-vulnerability-in-popular-billing-software-to-deploy-ransomware>

 

 

Huntress Labs는 지난 10월 7일에 BQE Software 측에 이 취약점을 제보했습니다.

 

또한 전문가들은 CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-42573, CVE-2021-42741, CVE-2021-42742로 등록된 BillQuick 제로데이 취약점 8개를 발견했습니다.

 

BleepingComputer는 이 그룹이 최소 2020년 5월부터 이 랜섬웨어를 배포하고 있으며, 다른 AutoIT 기반 랜섬웨어 패밀리에서 코드의 많은 부분을 차용했다고 추측했습니다.

 

"이 랜섬웨어는 타깃 시스템에 배포되면 모든 암호화된 파일에 pusheken91@bk.ru 확장자를 추가하지만, 위에서 언급한 바와 같이 알려진 공격 중에 랜섬노트를 드랍하는 것이 목격되지 않았습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/123783/cyber-crime/ransomware-gang-billquick-web-suite-bug.html

https://www.huntress.com/blog/threat-advisory-hackers-are-exploiting-a-vulnerability-in-popular-billing-software-to-deploy-ransomware