Исследователи предупреждают, что вымогательская группа Cactus использует критические уязвимости в решении для визуализации, исследования и мониторинга данных Qlik Sense, получая с их помощью первоначальный доступ к корпоративным сетям.
В конце августа текущего года разработчики Qlik Sense выпустили патчи для двух критических уязвимостей, затрагивающих Windows-версию платформы.
Одна из уязвимостей, CVE-2023-41266, представляет собой path traversal баг и может использовать для создания анонимных сеансов и выполнения HTTP-запросов к неавторизованным конечным точкам.
Вторая проблема получила идентификатор CVE-2023-41265 и оценивается как критическая (9,8 балла по шкале CVSS). Эта уязвимость не требует аутентификации и может использоваться для повышения привилегий и выполнения HTTP-запросов на бэкэнд-сервере, где размещено приложение.
20 сентября разработчики обнаружили, что исправление для CVE-2023-41265 оказалось неэффективным. В итоге уязвимость получила новый идентификатор CVE-2023-48365, и компания выпустила еще одну партию обновлений.
Как теперь сообщают эксперты из компании Arctic Wolf, уязвимости Qlik Sense до сих пор не исправлены во многих установках, и этим пользуются операторы вымогателя Cactus.
Атакующие используют проблемы Qlik Sense для выполнения кода, который заставляет службу Qlik Sense Scheduler инициировать новые процессы. Затем злоумышленники применяют PowerShell и Background Intelligent Transfer Service (BITS) для загрузки ряда инструментов, которые помогают им закрепиться в системе и предоставляют удаленный доступ к машине:
Также отмечается, что злоумышленники используют различные методы для сохранения скрытности и сбора информации из зараженной системы, включая удаление антивируса Sophos, изменение пароля администратора и создание RDP-туннеля с помощью Plink.
Кроме того, атакующие применяют RDP для бокового перемещения, WizTree для анализа дискового пространства и rclone (замаскированный под svchost.exe) для эксфильтрации данных.
И только на заключительном этапе атаки хакеры разворачивают во взломанных системах вымогателя Cactus.
Чтобы снизить риски, специалисты Qlik рекомендуют как можно скорее обновить Sense Enterprise для Windows до следующих версий:
В конце августа текущего года разработчики Qlik Sense выпустили патчи для двух критических уязвимостей, затрагивающих Windows-версию платформы.
Одна из уязвимостей, CVE-2023-41266, представляет собой path traversal баг и может использовать для создания анонимных сеансов и выполнения HTTP-запросов к неавторизованным конечным точкам.
Вторая проблема получила идентификатор CVE-2023-41265 и оценивается как критическая (9,8 балла по шкале CVSS). Эта уязвимость не требует аутентификации и может использоваться для повышения привилегий и выполнения HTTP-запросов на бэкэнд-сервере, где размещено приложение.
20 сентября разработчики обнаружили, что исправление для CVE-2023-41265 оказалось неэффективным. В итоге уязвимость получила новый идентификатор CVE-2023-48365, и компания выпустила еще одну партию обновлений.
Как теперь сообщают эксперты из компании Arctic Wolf, уязвимости Qlik Sense до сих пор не исправлены во многих установках, и этим пользуются операторы вымогателя Cactus.
Атакующие используют проблемы Qlik Sense для выполнения кода, который заставляет службу Qlik Sense Scheduler инициировать новые процессы. Затем злоумышленники применяют PowerShell и Background Intelligent Transfer Service (BITS) для загрузки ряда инструментов, которые помогают им закрепиться в системе и предоставляют удаленный доступ к машине:
Также отмечается, что злоумышленники используют различные методы для сохранения скрытности и сбора информации из зараженной системы, включая удаление антивируса Sophos, изменение пароля администратора и создание RDP-туннеля с помощью Plink.
Кроме того, атакующие применяют RDP для бокового перемещения, WizTree для анализа дискового пространства и rclone (замаскированный под svchost.exe) для эксфильтрации данных.
И только на заключительном этапе атаки хакеры разворачивают во взломанных системах вымогателя Cactus.
Чтобы снизить риски, специалисты Qlik рекомендуют как можно скорее обновить Sense Enterprise для Windows до следующих версий: