Cactus 勒索软件利用了 Qlik Sense 漏洞，自3月起攻击频繁

据安全运营公司Arctic Wolf称，商业分析公司Qlik的产品可能受到了三个漏洞的影响，这些漏洞可能已被黑客用于发起勒索软件攻击。

Arctic Wolf的报告指出，攻击似乎利用了CVE-2023-41266、CVE-2023-41265和CVE-2023-48365进行初始访问，随后攻击者试图在受感染的系统上部署Cactus勒索软件。这些漏洞由Praetorian发现，详细信息在Qlik提供修补程序后的8月和9月进行了披露，这些被评为“严重”和“高严重性”的漏洞影响了数据分析解决方案Qlik Sense Enterprise for Windows。

CVE-2023-41266是一种路径遍历问题，允许未经身份验证的远程攻击者生成匿名会话并向未经授权的端点发送HTTP请求。CVE-2023-41265是一种HTTP隧道缺陷，可被利用来提升权限并在托管存储库应用程序的后端服务器上执行HTTP请求。两个漏洞结合起来，未经身份验证的远程黑客可以执行任意代码并向Qlik Sense应用程序添加新的管理员用户。

尽管Qlik目前表示没有证据表明这些漏洞被野外利用，但Arctic Wolf声称已经观察到攻击者利用这些漏洞进行远程代码执行。在获得对目标组织系统的初步访问权限后，网络犯罪分子进行了一系列恶意活动，包括卸载安全软件、更改管理员帐户密码、安装远程访问软件、使用RDP进行横向移动以及窃取数据。在某些情况下，攻击者还试图部署Cactus勒索软件。

这一事件凸显了Qlik产品中存在的漏洞对黑客而言具有极大的价值，考虑到Qlik声称拥有超过40,000名客户。ZoomEye称，Qlik Sense在互联网上有超过17,000个实例，主要分布在美国、巴西和欧洲几个国家。Cactus勒索软件自2023年3月以来一直活跃，并已对多个重要组织进行攻击。根据了解，网络犯罪分子利用VPN设备的漏洞进行初始访问。

这一事件说明了Qlik产品中存在的漏洞可能导致黑客对组织系统进行恶意活动，包括数据窃取和勒索软件攻击。漏洞的存在强调了企业在网络安全方面的重要性，尤其是在采用数据分析解决方案时需要加强防护和及时应用安全补丁。