Tuhannet Qlik Sense -palvelimet ovat avoinna Cactus Ransomwarelle

Lähes viisi kuukautta sen jälkeen, kun tietoturvatutkijat varoittivat Cactus ransomware -ryhmästä, joka hyödyntää Qlik Sense -tietoanalytiikka- ja business intelligence (BI) -alustan kolmea haavoittuvuutta, monet organisaatiot ovat edelleen vaarallisen haavoittuvia uhalle.

Qlik julkisti haavoittuvuudet elo- ja syyskuussa. Yhtiön elokuussa julkaisema ilmoitus sisälsi kaksi bugia useissa Qlik Sense Enterprise for Windows -versioissa, jotka jäljitettiin nimellä CVE-2023-41266 ja CVE-2023-41265. Kun haavoittuvuudet on ketjutettu, ne antavat todentamattomalle etähyökkääjälle tavan suorittaa mielivaltaista koodia järjestelmissä, joita tämä koskee. Syyskuussa Qlik paljasti CVE-2023-48365, joka osoittautui ohitukseksi Qlikin korjaukseksi kahteen edelliseen virheeseen elokuussa.

Gartner on luokitellut Qlikin yhdeksi markkinoiden parhaista datavisualisoinnin ja BI:n toimittajista.

Qlikin tietoturvavirheiden jatkuva hyödyntäminen

Kaksi kuukautta myöhemmin, Arktinen susi raportoitu havainneen Cactus ransomwaren operaattoreita hyödyntävän kolmea haavoittuvuutta saadakseen ensimmäisen jalansijan kohdeympäristöissä. Tuolloin tietoturvatoimittaja sanoi reagoivansa useisiin tapauksiin, joissa asiakkaat ovat kohdanneet hyökkäyksiä Qlik Sense -haavoittuvuuksien kautta, ja varoitti Cactus-ryhmän kampanjan olevan nopeasti kehittyvä.

Silti monet organisaatiot eivät näytä saaneen muistiota. Fox-IT:n tutkijoiden 17. huhtikuuta tekemä skannaus paljasti yhteensä 5,205 XNUMX Internetissä käytettävää Qlik Sense -palvelinta, joista 3,143 XNUMX palvelinta oli edelleen haavoittuvia Cactus-ryhmän hyökkäyksiin. Tästä määrästä 396 palvelinta näytti olevan Yhdysvalloissa. Muita maita, joissa on suhteellisen paljon haavoittuvia Qlik Sense -palvelimia, ovat Italia (280), Brasilia (244) ja Alankomaat ja Saksa (241 ja 175).

Fox-IT kuuluu Alankomaiden turvallisuusorganisaatioiden ryhmään – mukaan lukien Dutch Institute for Vulnerability Disclosure (DIVD) – jotka tekevät yhteistyötä Project Melissa -nimisen hankkeen alaisuudessa häiritä Cactus-ryhmän toimintaa.

Löydettyään haavoittuvat palvelimet Fox-IT välitti sormenjäljensä ja skannaustietonsa DIVD:lle, joka sitten alkoi ottaa yhteyttä haavoittuvien Qlik Sense -palvelimien ylläpitäjiin heidän organisaationsa altistumisesta mahdollisille Cactus ransomware -hyökkäyksille. Joissakin tapauksissa DIVD lähetti ilmoitukset suoraan mahdollisille uhreille, kun taas toisissa organisaatio yritti välittää tiedot heille oman maansa tietokoneiden hätäapuryhmien kautta.

Turvaorganisaatiot ilmoittavat mahdollisista Cactus Ransomware -uhreista

ShadowServer Foundation tavoittaa myös riskiorganisaatiot. Jonkin sisällä kriittinen hälytys Tällä viikolla voittoa tavoittelematon uhkien tiedustelupalvelu kuvaili tilannetta tilanteeksi, jossa korjaamisen epäonnistuminen voi jättää organisaatiot erittäin suurella todennäköisyydellä kompromissiin.

"Jos saat meiltä hälytyksen haavoittuvasta ilmentymästä, joka on havaittu verkossasi tai vaalipiirissäsi, ole hyvä ja oleta myös esiintymäsi ja mahdollisesti verkkosi vaarantuminen", ShadowServer sanoi. "Vaarantuneet ilmentymät määritetään etänä tarkistamalla, onko olemassa tiedostoja, joiden tiedostotunniste on .ttf tai .woff."

Fox-IT ilmoitti tunnistaneensa ainakin 122 Qlik Sense -instanssia, jotka ovat todennäköisesti vaarantuneet kolmen haavoittuvuuden kautta. 13 heistä oli Yhdysvalloissa; 11 Espanjassa; 17 Italiassa; ja loput hajallaan XNUMX muussa maassa. "Kun kompromissiartefaktin ilmaisin on läsnä Qlik Sense -etäpalvelimella, se voi viitata erilaisiin skenaarioihin", Fox-IT sanoi. Se voi esimerkiksi viitata siihen, että hyökkääjät suorittivat koodia etäyhteyden kautta palvelimella, tai se voi olla yksinkertaisesti artefakti aiemmasta tietoturvahäiriöstä.

"On ratkaisevan tärkeää ymmärtää, että "jo vaarantunut" voi tarkoittaa, että joko kiristysohjelma on otettu käyttöön ja alkuperäisiä pääsyn artefakteja ei ole poistettu, tai järjestelmä pysyy vaarassa ja on mahdollisesti valmis tulevalle kiristysohjelmahyökkäykselle", Fox-IT sanoi. .

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks