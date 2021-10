Une faille dans BillQuick Web Suite, logiciel de facturation, exploitée pour distribuer un rançongiciel. : réaction de HackerOne

octobre 2021 par HackerOne

Selon Bleeping Computer, un opérateur inconnu de rançongiciel a exploité une faille critique d’injection SQL découverte dans la solution de facturation et de gestion du temps « BillQuick Web Suite ». Cette faille a permis le vol de données des clients et a ouvert la porte à la diffusion d’un rançongiciel.

Selon les chercheurs en sécurité de l’équipe Huntress ThreatOps, la vulnérabilité, connue sous le nom de CVE-2021-42258, peut être déclenchée très facilement par des demandes de connexion comportant des caractères invalides (comme de simples guillemets) dans le champ du nom d’utilisateur. Une vulnérabilité d’autant plus grave que la société à l’origine de BillQuick, BQE Software, affirme que sa base d’utilisateurs compte 400 000 utilisateurs dans le monde.

Ci-dessous, l’analyse de Shlomie Liberow, Principal Security Architect chez HackerOne, qui insiste sur la nécessité de surveiller en continu les langages de programmation pour prévenir des attaques par injections SQL.

« Les vulnérabilités liées à l’injection SQL (SQLi) peuvent s’avérer être des menaces importantes pour toutes organisations. SQL est le langage utilisé par de nombreuses applications pour stocker et récupérer des données ; il facilite la communication avec une base de données. Les injections SQL se produisent lorsque l’entrée de l’utilisateur n’a pas été séparée de la logique de la requête. Elle permet à un attaquant d’injecter ses propres commandes dans les communications d’une application avec sa base de données. L’impact d’une attaque SQLi comprend, entre autres, l’accès à des données sensibles, l’altération de données existantes et la suppression de données. La meilleure défense contre les attaques SQLi consiste à utiliser des requêtes paramétrées. Tous les langages de programmation modernes prennent en charge les interactions avec les bases de données de cette manière. Les requêtes paramétrées permettent aux applications de transmettre séparément à la base de données la logique des requêtes SQL et les entrées de l’utilisateur, éliminant ainsi la possibilité d’une attaque par injection. »

HackerOne constate par ailleurs que les injections SQL sont en baisse d’une année sur l’autre. Alors qu’elles ont longtemps été une vulnérabilité très courante, les chercheurs HackerOne constatent que leur nombre diminue.

Les frameworks et les méthodes de sécurité modernes ainsi que la montée en puissance des hackers éthiques, ont permis de faire diminuer les injections SQL. L’injection SQL survient surtout lorsque les organisations ne surveillent pas les applications qui sont reliées à leur base de données et la façon dont elles s’interfacent. En sollicitant la sécurité collaborative, les organisations tirent profit des méthodes créatives des hackers éthiques pour réduire les surfaces d’attaque en continu.