Σχεδόν πέντε μήνες αφότου οι ερευνητές ασφαλείας προειδοποίησαν ότι η ομάδα ransomware Cactus αξιοποιεί ένα σύνολο τριών τρωτών σημείων στην πλατφόρμα ανάλυσης δεδομένων Qlik Sense και επιχειρηματικής ευφυΐας (BI), πολλοί οργανισμοί παραμένουν επικίνδυνα ευάλωτοι στην απειλή.
Η Qlik αποκάλυψε τα τρωτά σημεία τον Αύγουστο και τον Σεπτέμβριο. Η αποκάλυψη της εταιρείας τον Αύγουστο αφορούσε δύο σφάλματα σε πολλαπλές εκδόσεις του Qlik Sense Enterprise για Windows που παρακολουθήθηκαν ως CVE-2023-41266 και CVE-2023-41265. Τα τρωτά σημεία, όταν συνδέονται με αλυσίδα, δίνουν σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας έναν τρόπο να εκτελέσει αυθαίρετο κώδικα σε συστήματα που επηρεάζονται. Τον Σεπτέμβριο, η Qlik αποκάλυψε CVE-2023-48365, που αποδείχθηκε ότι ήταν μια παράκαμψη της επιδιόρθωσης της Qlik για τα δύο προηγούμενα ελαττώματα από τον Αύγουστο.
Η Gartner έχει κατατάξει την Qlik ως έναν από τους κορυφαίους προμηθευτές οπτικοποίησης δεδομένων και BI στην αγορά.
Συνεχιζόμενη εκμετάλλευση των σφαλμάτων ασφαλείας Qlik
Δύο μήνες αργότερα, Αρκτική Wolf ανέφερε ότι παρατηρούσε χειριστές του ransomware Cactus που εκμεταλλεύονται τα τρία τρωτά σημεία για να αποκτήσουν μια αρχική βάση σε περιβάλλοντα στόχους. Εκείνη την εποχή, ο προμηθευτής ασφαλείας είπε ότι ανταποκρινόταν σε πολλαπλές περιπτώσεις πελατών που αντιμετώπιζαν επιθέσεις μέσω των τρωτών σημείων του Qlik Sense και προειδοποίησε ότι η καμπάνια της ομάδας Cactus αναπτύσσεται ταχέως.
Ακόμα κι έτσι, πολλοί οργανισμοί φαίνεται να μην έχουν λάβει το σημείωμα. Μια σάρωση από ερευνητές στο Fox-IT στις 17 Απριλίου αποκάλυψε συνολικά 5,205 διακομιστές Qlik Sense προσβάσιμους στο Διαδίκτυο, εκ των οποίων 3,143 διακομιστές εξακολουθούσαν να είναι ευάλωτοι στα κατορθώματα της ομάδας Cactus. Από αυτόν τον αριθμό, 396 διακομιστές φαινόταν να βρίσκονται στις ΗΠΑ. Άλλες χώρες με σχετικά υψηλό αριθμό ευάλωτων διακομιστών Qlik Sense περιλαμβάνουν την Ιταλία με 280, τη Βραζιλία με 244 και την Ολλανδία και τη Γερμανία με 241 και 175 αντίστοιχα.
Η Fox-IT είναι μεταξύ μιας ομάδας οργανισμών ασφαλείας στην Ολλανδία - συμπεριλαμβανομένου του Ολλανδικού Ινστιτούτου για την Αποκάλυψη Ευπάθειας (DIVD) - που εργάζονται συνεργατικά υπό την αιγίδα μιας προσπάθειας που ονομάζεται Project Melissa, για να διαταράξει τις λειτουργίες της ομάδας Cactus.
Μόλις ανακάλυψε τους ευάλωτους διακομιστές, η Fox-IT μετέδωσε τα δακτυλικά της αποτυπώματα και τα δεδομένα σάρωσης στο DIVD, το οποίο στη συνέχεια άρχισε να επικοινωνεί με τους διαχειριστές των ευάλωτων διακομιστών Qlik Sense σχετικά με την έκθεση του οργανισμού τους σε πιθανές επιθέσεις ransomware Cactus. Σε ορισμένες περιπτώσεις, το DIVD έστειλε τις ειδοποιήσεις απευθείας σε πιθανά θύματα, ενώ σε άλλες ο οργανισμός προσπάθησε να μεταδώσει τις πληροφορίες σε αυτά μέσω των ομάδων απόκρισης έκτακτης ανάγκης των αντίστοιχων υπολογιστών της χώρας τους.
Οι οργανισμοί ασφαλείας ειδοποιούν πιθανά θύματα λυτραλογισμικού κάκτων
Το ShadowServer Foundation απευθύνεται επίσης σε οργανισμούς που βρίσκονται σε κίνδυνο. Σε ένα κρίσιμο συναγερμό αυτή την εβδομάδα, η μη κερδοσκοπική υπηρεσία πληροφοριών απειλών περιέγραψε την κατάσταση ως κατάσταση όπου η αποτυχία αποκατάστασης θα μπορούσε να αφήσει τους οργανισμούς σε πολύ υψηλή πιθανότητα συμβιβασμού.
"Εάν λάβετε μια ειδοποίηση από εμάς για ένα ευάλωτο παράδειγμα που εντοπίστηκε στο δίκτυό σας ή στην εκλογική σας περιφέρεια, υποθέστε επίσης ότι το στιγμιότυπο και πιθανώς το δίκτυό σας διακυβεύεται", δήλωσε ο ShadowServer. "Τα παραβιασμένα στιγμιότυπα προσδιορίζονται εξ αποστάσεως ελέγχοντας την παρουσία αρχείων με επέκταση αρχείου .ttf ή .woff."
Η Fox-IT είπε ότι είχε εντοπίσει τουλάχιστον 122 περιπτώσεις Qlik Sense ως πιθανώς παραβιασμένες μέσω των τριών τρωτών σημείων. Σαράντα εννέα από αυτούς βρίσκονταν στις ΗΠΑ. 13 στην Ισπανία. 11 στην Ιταλία. και τα υπόλοιπα διασκορπισμένα σε 17 άλλες χώρες. "Όταν η ένδειξη του τεχνουργήματος συμβιβασμού υπάρχει σε έναν απομακρυσμένο διακομιστή Qlik Sense, μπορεί να υποδηλώνει διάφορα σενάρια", δήλωσε η Fox-IT. Θα μπορούσε, για παράδειγμα, να υποδηλώνει ότι οι εισβολείς εκτέλεσαν τον κώδικα εξ αποστάσεως στον διακομιστή ή θα μπορούσε απλώς να είναι ένα τεχνούργημα από προηγούμενο περιστατικό ασφαλείας.
«Είναι σημαντικό να κατανοήσουμε ότι το «ήδη παραβιασμένο» μπορεί να σημαίνει ότι είτε το ransomware έχει αναπτυχθεί και τα αρχικά τεχνουργήματα πρόσβασης που άφησαν δεν αφαιρέθηκαν, είτε ότι το σύστημα παραμένει σε κίνδυνο και είναι δυνητικά έτοιμο για μελλοντική επίθεση ransomware», δήλωσε η Fox-IT. .
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks
