CVE-2023-41265

Qlik Sense

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-12-07

Официальное описание

Qlik Sense contains an HTTP tunneling vulnerability that allows an attacker to escalate privileges and execute HTTP requests on the backend server hosting the software.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-41265 представляет собой критическую уязвимость в компоненте Qlik Sense Proxy Service, связанную с некорректной обработкой HTTP-заголовков. Злоумышленник может отправить специально сформированные HTTP-запросы, которые позволяют обойти механизмы аутентификации и авторизации через туннелирование запросов.

Это позволяет неавторизованному пользователю повысить свои привилегии в системе и выполнять произвольные HTTP-запросы от имени внутреннего сервера (backend). В сочетании с другими уязвимостями (например, CVE-2023-41266) это может привести к удаленному выполнению кода (RCE).

Как исправить

Основным способом устранения уязвимости является обновление Qlik Sense Enterprise на Windows до версий, в которых данная проблема исправлена.

  1. Скачайте соответствующий Service Release с официального портала Qlik.
  2. Выполните установку обновления на всех узлах кластера (Central и Rim nodes).

Версии, содержащие исправление: * May 2023 Patch 4 * February 2023 Patch 7 * November 2022 Patch 10 * August 2022 Patch 12

Команда для проверки текущей версии через PowerShell:

Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*Qlik Sense*"} | Select-Object Name, Version

Временные меры

Если немедленное обновление невозможно, необходимо ограничить возможность эксплуатации уязвимости на уровне сетевой инфраструктуры и конфигурации прокси.

  1. Настройте проверку входящих HTTP-заголовков на Reverse Proxy или WAF, стоящем перед Qlik Sense. Блокируйте запросы, содержащие дублирующиеся или аномальные заголовки Host.

  2. Ограничьте доступ к портам управления и проксирования Qlik Sense только для доверенных IP-адресов.

  3. Временно отключите неиспользуемые методы аутентификации в Qlik Management Console (QMC).

  4. Для мониторинга попыток эксплуатации проверьте логи Proxy (по умолчанию: C:\ProgramData\Qlik\Sense\Log\Proxy\Trace\*_Audit_Proxy.txt) на предмет подозрительных запросов с кодами 401 или 403, за которыми следуют успешные запросы к API с того же IP.

Проверка статуса служб после внесения изменений:

Get-Service -Name "QlikSenseProxyService", "QlikSenseRepositoryService"
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей