Cactus ransomware đã khai thác các lỗ hổng nghiêm trọng trong giải pháp phân tích dữ liệu Qlik Sense để có quyền truy cập ban đầu vào mạng công ty.
Qlik Sense là sản phẩm phục vụ như một nền tảng phân tích dữ liệu cho nhiều người dùng, cho phép người dùng tạo báo cáo dữ liệu tùy chỉnh hoặc trực quan hóa tương tác.
Vào cuối tháng 8, Qlik Sense đã phát hành bản cập nhật bảo mật cho hai lỗ hổng nghiêm trọng ảnh hưởng đến phiên bản Windows của nền tảng này. Một trong những lỗ hổng bảo mật liên quan tới lỗi truyền tải đường dẫn được theo dõi là CVE-2023-41266, có thể bị khai thác để tạo các phiên ẩn danh và thực hiện các yêu cầu HTTP tới các điểm cuối trái phép.
Lỗ hổng thứ hai được theo dõi là CVE-2023-41265 và có mức độ nghiêm trọng là 9.8, không yêu cầu xác thực và có thể được lợi dụng để nâng cao đặc quyền và thực thi các yêu cầu HTTP trên máy chủ phụ trợ lưu trữ ứng dụng.
Ngày 20 tháng 9, Qlik Sense phát hiện ra bản vá cho CVE-2023-41265 không đầy đủ do đã cung cấp bản cập nhật mới, theo dõi sự cố dưới dạng một lỗ hổng riêng biệt được xác định là CVE-2023-48365 .
Công ty an ninh mạng Arctic Wolf cảnh báo phần mềm ransomware Cactus đang tích cực khai thác những lỗ hổng này trên các phiên bản Qlik Sense được công khai và vẫn chưa được vá.
Các cuộc tấn công ransomware Cactus mà Arctic Wolf theo dõi đã khai thác các vấn đề bảo mật để thực thi mã khiến dịch vụ Qlik Sense Scheduler bắt đầu các quy trình mới.
Cactus ransomware đã xuất hiện vào tháng 3 năm 2023 và áp dụng chiến thuật tống tiền kép, đánh cắp dữ liệu từ nạn nhân và sau đó mã hóa nó trên các hệ thống bị xâm nhập. Trong các cuộc tấn công trước đây, chúng đã khai thác lỗ hổng Fortinet VPN để truy cập mạng ban đầu.
Nguồn: Bleeping Computer
