出帳管理系統的漏洞，竟成為駭客入侵的管道，並藉此發動勒索軟體攻擊

駭客鎖定的攻擊目標，不光只是針對組織常見的商用軟體、作業系統下手，也有可能朝企業財務管理軟體而來。例如，資安業者Huntress發現一起美國工程公司遭到勒索軟體攻擊的事故，而駭客入侵該公司的管道，就是BQE出帳系統的SQL注入漏洞CVE-2021-42258。

BQE是專門開發企業財務管理系統的澳洲軟體公司，號稱有超過40萬客戶使用他們的產品。而這項SQL漏洞存在於名為BillQuick Web Suite當中，該公司獲報後，於10月7日發布22.0.9.1版予以修補。

對於這個漏洞帶來的影響，Huntress指出，一旦攻擊者利用這項SQL注入漏洞，不只可以存取BillQuick伺服器的資料，還能在Windows伺服器上執行惡意指令。而且，要觸發這項漏洞的難度並不高，研究人員表示，他們只在該系統的登入頁面上輸入單引號，就會出現SQL資料庫的錯誤訊息，進而發現這項漏洞。

至於濫用上述漏洞的攻擊者身分為何？資安新聞網站Bleeping Computer取得Huntress研究人員Caleb Stewart的說法指出，他們基於攻擊者的手法與大型駭客組織明顯不同，研判這是小型的駭客組織所為。此外，研究人員也在10月8日到10日，再度觀察到濫用此BillQuick系統的攻擊行動。

除了這次解析的CVE-2021-42258，研究人員透露，他們另外發現了8個漏洞，同樣能作為攻擊者入侵組織的管道。不過，BQE表示，這些漏洞的修補程式仍在製作當中。