Qlik 產品的三個漏洞可能已在勒索軟件攻擊中被利用

據安全運營公司 Arctic Wolf 稱，影響商業分析公司 Qlik 產品的三個漏洞可能已在勒索軟件攻擊中被利用。

該網絡安全公司報告稱，發現攻擊似乎利用 CVE-2023-41266、CVE-2023-41265 和 CVE-2023-48365 進行初始訪問，然后攻擊者嘗試在受感染的系統上部署 Cactus 勒索軟件。

這些被利用的漏洞是由 Praetorian 發現的，并在 Qlik 宣布提供補丁后不久于 8 月和9 月披露了詳細信息。

這些被評為“嚴重”和“高嚴重性”的安全漏洞影響了數據分析解決方案 Qlik Sense Enterprise for Windows。CVE-2023-41266 是一個路徑遍歷問題，允許未經身份驗證的遠程攻擊者生成匿名會話并向未經授權的端點發送 HTTP 請求。

CVE-2023-41265 是一個 HTTP 隧道缺陷，可被利用來提升權限并在托管存儲庫應用程序的后端服務器上執行 HTTP 請求。

結合起來，未經身份驗證的遠程黑客可以利用這兩個漏洞來執行任意代碼并向 Qlik Sense 應用程序添加新的管理員用戶。

在 Praetorian 研究人員成功繞過CVE-2023-41265補丁后，分配了 CVE-2023-48365。

雖然 Qlik 針對這些漏洞的公告目前表示沒有證據表明存在野外利用的情況，但 Arctic Wolf 聲稱已經看到明顯利用這些漏洞進行遠程代碼執行的攻擊。

在獲得對目標組織系統的初步訪問權限后，網絡犯罪分子被發現卸載安全軟件、更改管理員帳戶密碼、安裝遠程訪問軟件、使用 RDP 進行橫向移動以及竊取數據。在某些情況下，攻擊者試圖部署 Cactus 勒索軟件。

“根據在所有入侵中觀察到的顯著重疊，我們將所有描述的攻擊歸因于同一威脅行為者，該威脅行為者負責部署 Cactus 勒索軟件，”Arctic Wolf 說。

Qlik 聲稱擁有超過 40,000 名客戶，這使得其產品中的漏洞對黑客來說非常有價值。

據 ZoomEye 稱，Qlik Sense 有超過 17,000 個暴露在互聯網上的實例，主要分布在美國，其次是巴西和幾個歐洲國家。

Cactus 勒索軟件自2023 年 3 月以來一直活躍，已針對多個主要組織。據了解，網絡犯罪分子會利用 VPN 設備中的漏洞進行初始訪問。

本文轉載自: