เมื่อวันศุกร์ที่ 22 ตุลาคม ที่ผ่านมา นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยช่องโหว่ของระบบการเรียกเก็บเงิน BillQuick ซึ่งกำลังถูกใช้ในการโจมตีเพื่อติดตั้ง Ransomware ในระบบที่มีช่องโหว่ ซึ่งปัจจุบันได้มีการแก้ไขไปแล้วในบางเวอร์ชั่นในเวลานี้
ถึงแม้ว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขโดย BQE Software ใน BillQuick version. 22.0.9.1 ที่เผยแพร่ไปเมื่อ 7 ตุลาคม แต่ก็ยังมีปัญหาด้านความปลอดภัยอื่น ๆ อีก 8 รายการ ที่ไม่ได้เปิดเผย ซึ่งได้ถูกระบุว่าเป็นส่วนหนึ่งของการตรวจสอบที่ยังไม่ได้รับการแก้ไข ซึ่ง Software ของ BQE นั้นมีผู้ใช้งานถึง 400,000 รายทั่วโลก
ช่องโหว่ดังกล่าวคือ CVE-2021-42258 ซึ่งช่องโหว่นี้เกี่ยวข้องกับการโจมตีแบบ injection attack ที่อนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายได้จากระยะไกล (Remote Code Execution) และมีการใช้โจมตีได้สำเร็จในการเข้าถึงบริษัทวิศวกรรมที่ไม่ได้เปิดเผยชื่อในสหรัฐฯ และทำการติดตั้ง Ransomware และนอกจากนี้ แฮกเกอร์ยังสามารถใช้ช่องโหว่นี้ในการเข้าถึงข้อมูล BillQuick ของลูกค้า และเรียกใช้คำสั่งที่เป็นอันตรายบน Windows Server ซึ่งเหตุการณ์นี้ได้เน้นย้ำถึงรูปแบบเดิม ๆ ที่ทำให้เกิดปัญหากับ SMB Software ที่ตัวแทนขายส่วนใหญ่มักจะมีการดำเนินการด้านความปลอดภัยให้กับลูกค้าเพียงเล็กน้อยเท่านั้น ในขณะที่ลูกค้าที่ไม่รู้ตัวต้องถูกโจมตี และข้อมูลภายในขององค์กรรั่วไหลออกมา หรือถูกเรียกค่าไถ่
โดยช่องโหว่นี้เกิดจากการที่ BillQuick Web Suite 2020 ทำการคิวรี่ข้อมูลบน SQL Database ทำให้ผู้โจมตีสามารถ Inject SQL ที่สร้างขึ้นมาเป็นพิเศษผ่านทางฟอร์มการเข้าสู่ระบบของ Application ที่สามารถใช้เพื่อสร้างคำสั่ง Shell จากระยะไกล ซึ่งโดยปกติแล้ว Software จะทำงานในระดับ System Administrator user อยู่แล้ว
ซึ่งบางครั้ง Productivity Tool หรือ Add-on ก็อาจเป็นช่องทางที่แฮกเกอร์สามารถใช้โจมตีเพื่อเข้าถึง Environment ภายในองค์กรได้เช่นเดียวกัน
ที่มา: thehackernews