BillQuick Web Suite

Die Schwachstelle steckt in der BillQuick Web Suite von BQE, einer webbasierten Anwendung für Zeiterfassung und Abrechnung. Dort werden Eingaben nicht ausreichend geprüft, bevor sie in Datenbankabfragen einfließen, sodass ein Angreifer eigene SQL-Befehle einschleusen kann (SQL-Injection). Als Einfallstor dient unter anderem das Feld für den Benutzernamen im Anmeldebereich. Der Angriff gelingt aus der Ferne und ganz ohne gültige Zugangsdaten. Über die manipulierte Datenbankabfrage lässt sich auf dem dahinterliegenden Microsoft-SQL-Server die Funktion xp_cmdshell missbrauchen, mit der beliebige Betriebssystembefehle im Kontext des Datenbankdienstes ausgeführt werden. Damit kann der Angreifer eigenen Code auf dem Server ausführen und die Kontrolle über das System übernehmen. Die Lücke wurde bereits aktiv ausgenutzt, um Erpressungssoftware (Ransomware) auf betroffenen Systemen zu installieren – mit entsprechend gravierenden Folgen für die gespeicherten Geschäfts- und Abrechnungsdaten.