研究人员警告说,Cactus 勒索软件组织正在利用 Qlik Sense 数据可视化、探索和监控解决方案中的关键漏洞来获得对企业网络的初始访问权限。
今年八月下旬,Qlik Sense 开发人员 针对影响 Windows 版本平台的两个关键漏洞发布了补丁 。
其中一个漏洞 CVE-2023-41266 是一个路径遍历错误,可用于创建匿名会话并向未经授权的端点发出 HTTP 请求。
第二个问题被识别为 CVE-2023-41265 ,并被列为严重问题(CVSS 评分 9.8)。
该漏洞不需要身份验证,可用于提升权限并在托管应用程序的后端服务器上发出 HTTP 请求。
9月20日,开发者发现CVE-2023-41265的修复无效。
结果,该漏洞获得了新的标识符 CVE-2023-48365 ,并且该公司发布了另一组更新 。
正如 Arctic Wolf 专家现在报告的那样,在许多安装中,Qlik Sense 漏洞尚未修复,Cactus 勒索软件的运营商正在利用这一点。
攻击者使用 Qlik Sense 问题执行导致 Qlik Sense Scheduler 服务启动新进程的代码。
然后,攻击者使用PowerShell 和后台智能传输服务 (BITS)下载一组工具,帮助他们破坏系统并提供对计算机的远程访问:
- ManageEngine UEMS 可执行文件伪装成 Qlik 文件;
- AnyDesk,直接取自官网;
- Plink 二进制文件(PuTTY Link),重命名为 putty.exe。
还应该指出的是,攻击者使用各种方法来维护机密并从受感染的系统收集信息,包括删除 Sophos 防病毒软件、更改管理员密码以及使用 Plink 创建 RDP 隧道。
此外,攻击者还使用RDP 进行横向移动,使用 WizTree 进行磁盘空间分析,以及使用 rclone(伪装成 svchost.exe)进行数据泄露。
只有在攻击的最后阶段,黑客才会将 Cactus 勒索软件部署到受感染的系统中。
为了降低风险,Qlik 专家建议尽快将 Sense Enterprise for Windows 更新到以下版本:
- 2023 年 8 月 2 日补丁;
- 2023 年 5 月 6 日补丁;
- 2023 年 2 月 10 日补丁;
- 2022 年 11 月补丁 12;
- 2022 年 8 月 14 日补丁;
- 2022 年 5 月 16 日补丁;
- 2022 年 2 月 15 日补丁;
- 2021 年 11 月第 17 版补丁。
