Platon Data Intelligence.
Vertikal søgning & Ai.

Cyber ​​Security

Tusindvis af Qlik Sense-servere åbne for Cactus Ransomware

Genudgivet af Platon
Genudgivet af Platon

Dato:

Visninger: 0

Næsten fem måneder efter, at sikkerhedsforskere advarede om, at Cactus ransomware-gruppen udnyttede et sæt af tre sårbarheder i Qlik Sense dataanalyse- og business intelligence-platformen (BI), er mange organisationer fortsat farligt sårbare over for truslen.

Qlik afslørede sårbarhederne i august og september. Virksomhedens afsløring i august involverede to fejl i flere versioner af Qlik Sense Enterprise til Windows sporet som CVE-2023-41266 og CVE-2023-41265. Sårbarhederne, når de er kædet, giver en ekstern, uautoriseret angriber en måde at udføre vilkårlig kode på berørte systemer. I september afslørede Qlik CVE-2023-48365, hvilket viste sig at være en bypass af Qliks rettelse til de to foregående fejl fra august.

Gartner har rangeret Qlik som en af ​​de bedste datavisualiserings- og BI-leverandører på markedet.

Fortsat udnyttelse af Qlik-sikkerhedsfejl

To måneder senere, Arktisk ulv rapporterede at observere operatører af Cactus ransomware, der udnytter de tre sårbarheder til at få et indledende fodfæste i målmiljøer. På det tidspunkt sagde sikkerhedsleverandøren, at den reagerede på flere tilfælde af kunder, der stødte på angreb via Qlik Sense-sårbarhederne og advarede om, at Cactus-gruppens kampagne var under hastig udvikling.

Alligevel ser det ud til, at mange organisationer ikke har modtaget notatet. En scanning foretaget af forskere ved Fox-IT den 17. april afdækkede i alt 5,205 internettilgængelige Qlik Sense-servere, heraf 3,143 servere var stadig sårbare til Cactus-gruppens bedrifter. Af dette antal så 396 servere ud til at være placeret i USA. Andre lande med et relativt højt antal sårbare Qlik Sense-servere omfatter Italien med 280, Brasilien med 244 og Holland og Tyskland med henholdsvis 241 og 175.

Fox-IT er blandt en gruppe af sikkerhedsorganisationer i Holland - herunder det hollandske institut for sårbarhedsdisclosure (DIVD) - der arbejder sammen under ledelse af en indsats kaldet Project Melissa, for at forstyrre Cactus-gruppens operationer.

Da Fox-IT opdagede de sårbare servere, videresendte Fox-IT sine fingeraftryk og scanningsdata til DIVD, som derefter begyndte at kontakte administratorer af de sårbare Qlik Sense-servere om deres organisations eksponering for potentielle Cactus ransomware-angreb. I nogle tilfælde sendte DIVD underretningerne direkte til potentielle ofre, mens organisationen i andre forsøgte at videregive oplysningerne til dem via deres respektive landes computerberedskabsteams.

Sikkerhedsorganisationer underretter potentielle Cactus Ransomware-ofre

ShadowServer Foundation når også ud til udsatte organisationer. I en kritisk alarm i denne uge beskrev nonprofit-trusselsefterretningstjenesten situationen som en situation, hvor en manglende afhjælpning kunne efterlade organisationer med en meget høj sandsynlighed for kompromis.

"Hvis du modtager en advarsel fra os om en sårbar forekomst, der er opdaget i dit netværk eller din valgkreds, skal du også gå på kompromis med din forekomst og muligvis dit netværk," sagde ShadowServer. "Kompromitterede forekomster bestemmes eksternt ved at kontrollere tilstedeværelsen af ​​filer med filtypenavnet .ttf eller .woff."

Fox-IT sagde, at det havde identificeret mindst 122 Qlik Sense-forekomster som sandsynligvis kompromitteret via de tre sårbarheder. 13 af dem var i USA; 11 i Spanien; 17 i Italien; og resten spredt ud over XNUMX andre lande. "Når indikatoren for kompromitterende artefakt er til stede på en ekstern Qlik Sense-server, kan det antyde forskellige scenarier," sagde Fox-IT. Det kan for eksempel tyde på, at angriberne eksekverede kode eksternt på serveren, eller det kunne simpelthen være en artefakt fra en tidligere sikkerhedshændelse.

"Det er afgørende at forstå, at 'allerede kompromitteret' kan betyde, at enten ransomware er blevet implementeret, og de oprindelige adgangsartefakter, der er efterladt, ikke blev fjernet, eller at systemet forbliver kompromitteret og er potentielt klar til et fremtidigt ransomware-angreb," sagde Fox-IT .

spot_img

Seneste efterretninger

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat med os

Hej! Hvordan kan jeg hjælpe dig?