Fast fünf Monate nachdem Sicherheitsforscher davor gewarnt haben, dass die Ransomware-Gruppe Cactus eine Reihe von drei Schwachstellen in der Datenanalyse- und Business Intelligence (BI)-Plattform Qlik Sense ausnutzt, sind viele Unternehmen weiterhin gefährlich anfällig für die Bedrohung.

Qlik hat die Schwachstellen im August und September offengelegt. Die Offenlegung des Unternehmens im August betraf zwei Fehler in mehreren Versionen von Qlik Sense Enterprise für Windows, die als verfolgt wurden CVE-2023-41266 und CVE-2023-41265. Wenn die Schwachstellen verkettet sind, bieten sie einem entfernten, nicht authentifizierten Angreifer die Möglichkeit, beliebigen Code auf betroffenen Systemen auszuführen. Im September gab Qlik bekannt CVE-2023-48365, Dies stellte sich als eine Umgehung der Qlik-Behebung für die beiden vorherigen Fehler vom August heraus.

Gartner hat Qlik als einen der besten Datenvisualisierungs- und BI-Anbieter auf dem Markt eingestuft.

Anhaltende Ausnutzung von Qlik-Sicherheitslücken

Zwei Monate später, arktischer Wolf berichteten, dass Betreiber der Cactus-Ransomware die drei Schwachstellen ausnutzten, um zunächst in Zielumgebungen Fuß zu fassen. Damals sagte der Sicherheitsanbieter, dass er auf mehrere Fälle von Kunden reagiert habe, die Angriffen über die Sicherheitslücken von Qlik Sense ausgesetzt waren, und warnte davor, dass sich die Kampagne der Cactus-Gruppe schnell entwickle.

Dennoch scheinen viele Organisationen das Memo nicht erhalten zu haben. Bei einem Scan durch Forscher von Fox-IT am 17. April wurden insgesamt 5,205 über das Internet erreichbare Qlik Sense-Server entdeckt 3,143 Server waren weiterhin angreifbar zu den Heldentaten der Cactus-Gruppe. Davon befanden sich offenbar 396 Server in den USA. Weitere Länder mit einer relativ hohen Anzahl anfälliger Qlik Sense-Server sind Italien mit 280, Brasilien mit 244 sowie die Niederlande und Deutschland mit 241 bzw. 175.

Fox-IT gehört zu einer Gruppe von Sicherheitsorganisationen in den Niederlanden – darunter das Dutch Institute for Vulnerability Disclosure (DIVD) –, die unter der Schirmherrschaft eines Projekts namens Project Melissa zusammenarbeiten, um den Betrieb der Cactus-Gruppe zu stören.

Als Fox-IT die anfälligen Server entdeckte, leitete es seine Fingerabdrücke und Scandaten an DIVD weiter, das daraufhin begann, die Administratoren der anfälligen Qlik Sense-Server bezüglich der Gefährdung ihres Unternehmens durch potenzielle Cactus-Ransomware-Angriffe zu kontaktieren. In einigen Fällen schickte DIVD die Benachrichtigungen direkt an potenzielle Opfer, während die Organisation in anderen Fällen versuchte, die Informationen über die Computer-Notfallteams ihres jeweiligen Landes an sie weiterzuleiten.

Sicherheitsorganisationen benachrichtigen potenzielle Opfer der Cactus-Ransomware

Die ShadowServer Foundation wendet sich auch an gefährdete Organisationen. In einem kritischer Alarm Diese Woche beschrieb der gemeinnützige Threat Intelligence Service die Situation als eine Situation, in der ein Versäumnis, Abhilfemaßnahmen zu ergreifen, dazu führen könnte, dass Unternehmen mit sehr hoher Wahrscheinlichkeit kompromittiert werden.

„Wenn Sie von uns eine Warnung zu einer anfälligen Instanz erhalten, die in Ihrem Netzwerk oder Wahlkreis entdeckt wurde, gehen Sie bitte auch von einer Gefährdung Ihrer Instanz und möglicherweise Ihres Netzwerks aus“, sagte ShadowServer. „Kompromittierte Instanzen werden aus der Ferne ermittelt, indem das Vorhandensein von Dateien mit der Dateierweiterung .ttf oder .woff überprüft wird.“

Fox-IT gab an, mindestens 122 Qlik Sense-Instanzen als wahrscheinlich durch die drei Schwachstellen gefährdet identifiziert zu haben. 13 davon befanden sich in den USA; 11 in Spanien; 17 in Italien; und der Rest verteilt sich auf XNUMX andere Länder. „Wenn der Indikator für ein Kompromittierungsartefakt auf einem Remote-Qlik-Sense-Server vorhanden ist, kann dies auf verschiedene Szenarien hinweisen“, sagte Fox-IT. Dies könnte beispielsweise darauf hindeuten, dass die Angreifer Code aus der Ferne auf dem Server ausgeführt haben, oder es könnte sich einfach um ein Artefakt aus einem früheren Sicherheitsvorfall handeln.

„Es ist wichtig zu verstehen, dass ‚bereits kompromittiert‘ bedeuten kann, dass entweder die Ransomware eingesetzt wurde und die zurückgebliebenen anfänglichen Zugriffsartefakte nicht entfernt wurden, oder dass das System weiterhin kompromittiert ist und möglicherweise einem zukünftigen Ransomware-Angriff ausgesetzt ist“, sagte Fox-IT .

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks