Cactus 勒索軟件利用了 Qlik Sense 漏洞，自3月起攻擊頻繁

據安全運營公司Arctic Wolf稱，商業分析公司Qlik的產品可能受到了三個漏洞的影響，這些漏洞可能已被黑客用于發起勒索軟件攻擊。

Arctic Wolf的報告指出，攻擊似乎利用了CVE-2023-41266、CVE-2023-41265和CVE-2023-48365進行初始訪問，隨后攻擊者試圖在受感染的系統上部署Cactus勒索軟件。這些漏洞由Praetorian發現，詳細信息在Qlik提供修補程序后的8月和9月進行了披露，這些被評為“嚴重”和“高嚴重性”的漏洞影響了數據分析解決方案Qlik Sense Enterprise for Windows。

CVE-2023-41266是一種路徑遍歷問題，允許未經身份驗證的遠程攻擊者生成匿名會話并向未經授權的端點發送HTTP請求。CVE-2023-41265是一種HTTP隧道缺陷，可被利用來提升權限并在托管存儲庫應用程序的后端服務器上執行HTTP請求。兩個漏洞結合起來，未經身份驗證的遠程黑客可以執行任意代碼并向Qlik Sense應用程序添加新的管理員用戶。

盡管Qlik目前表示沒有證據表明這些漏洞被野外利用，但Arctic Wolf聲稱已經觀察到攻擊者利用這些漏洞進行遠程代碼執行。在獲得對目標組織系統的初步訪問權限后，網絡犯罪分子進行了一系列惡意活動，包括卸載安全軟件、更改管理員帳戶密碼、安裝遠程訪問軟件、使用RDP進行橫向移動以及竊取數據。在某些情況下，攻擊者還試圖部署Cactus勒索軟件。

這一事件凸顯了Qlik產品中存在的漏洞對黑客而言具有極大的價值，考慮到Qlik聲稱擁有超過40,000名客戶。ZoomEye稱，Qlik Sense在互聯網上有超過17,000個實例，主要分布在美國、巴西和歐洲幾個國家。Cactus勒索軟件自2023年3月以來一直活躍，并已對多個重要組織進行攻擊。根據了解，網絡犯罪分子利用VPN設備的漏洞進行初始訪問。

這一事件說明了Qlik產品中存在的漏洞可能導致黑客對組織系統進行惡意活動，包括數據竊取和勒索軟件攻擊。漏洞的存在強調了企業在網絡安全方面的重要性，尤其是在采用數據分析解決方案時需要加強防護和及時應用安全補丁。