据安全运营公司 Arctic Wolf 称,影响商业分析公司 Qlik 产品的三个漏洞可能已在勒索软件攻击中被利用。
该网络安全公司报告称,发现攻击似乎利用 CVE-2023-41266、CVE-2023-41265 和 CVE-2023-48365 进行初始访问,然后攻击者尝试在受感染的系统上部署 Cactus 勒索软件。
这些被利用的漏洞是由 Praetorian 发现的,并在 Qlik 宣布提供补丁后不久于 8 月和9 月披露了详细信息。
这些被评为“严重”和“高严重性”的安全漏洞影响了数据分析解决方案 Qlik Sense Enterprise for Windows。CVE-2023-41266 是一个路径遍历问题,允许未经身份验证的远程攻击者生成匿名会话并向未经授权的端点发送 HTTP 请求。
CVE-2023-41265 是一个 HTTP 隧道缺陷,可被利用来提升权限并在托管存储库应用程序的后端服务器上执行 HTTP 请求。
结合起来,未经身份验证的远程黑客可以利用这两个漏洞来执行任意代码并向 Qlik Sense 应用程序添加新的管理员用户。
在 Praetorian 研究人员成功绕过CVE-2023-41265补丁后,分配了 CVE-2023-48365。
虽然 Qlik 针对这些漏洞的公告目前表示没有证据表明存在野外利用的情况,但 Arctic Wolf 声称已经看到明显利用这些漏洞进行远程代码执行的攻击。
在获得对目标组织系统的初步访问权限后,网络犯罪分子被发现卸载安全软件、更改管理员帐户密码、安装远程访问软件、使用 RDP 进行横向移动以及窃取数据。在某些情况下,攻击者试图部署 Cactus 勒索软件。
“根据在所有入侵中观察到的显着重叠,我们将所有描述的攻击归因于同一威胁行为者,该威胁行为者负责部署 Cactus 勒索软件,”Arctic Wolf 说。
Qlik 声称拥有超过 40,000 名客户,这使得其产品中的漏洞对黑客来说非常有价值。
据 ZoomEye 称,Qlik Sense 有超过 17,000 个暴露在互联网上的实例,主要分布在美国,其次是巴西和几个欧洲国家。
Cactus 勒索软件自2023 年 3 月以来一直活跃,已针对多个主要组织。据了解,网络犯罪分子会利用 VPN 设备中的漏洞进行初始访问。
转自安全客,原文链接:https://www.anquanke.com/post/id/291576
封面来源于网络,如有侵权请联系删除