Casi cinco meses después de que los investigadores de seguridad advirtieran que el grupo de ransomware Cactus aprovechaba un conjunto de tres vulnerabilidades en la plataforma de análisis de datos e inteligencia empresarial (BI) de Qlik Sense, muchas organizaciones siguen siendo peligrosamente vulnerables a la amenaza.
Qlik reveló las vulnerabilidades en agosto y septiembre. La divulgación de agosto de la compañía involucró dos errores en múltiples versiones de Qlik Sense Enterprise para Windows rastreados como CVE-2023-41266 y CVE-2023-41265. Las vulnerabilidades, cuando se encadenan, brindan a un atacante remoto y no autenticado una forma de ejecutar código arbitrario en los sistemas afectados. En septiembre, Qlik reveló CVE-2023-48365, lo que resultó ser una solución a la solución de Qlik para los dos fallos anteriores de agosto.
Gartner ha clasificado a Qlik como uno de los principales proveedores de BI y visualización de datos del mercado.
Explotación continua de los errores de seguridad de Qlik
Dos meses despues, Lobo ártico informó haber observado a operadores de ransomware Cactus explotando las tres vulnerabilidades para ganar un punto de apoyo inicial en los entornos de destino. En ese momento, el proveedor de seguridad dijo que estaba respondiendo a múltiples casos de clientes que encontraron ataques a través de las vulnerabilidades de Qlik Sense y advirtió que la campaña del grupo Cactus se estaba desarrollando rápidamente.
Aun así, muchas organizaciones parecen no haber recibido el memorando. Un escaneo realizado por investigadores de Fox-IT el 17 de abril descubrió un total de 5,205 servidores Qlik Sense con acceso a Internet, de los cuales 3,143 servidores seguían siendo vulnerables a las hazañas del grupo Cactus. De ese número, 396 servidores parecían estar ubicados en Estados Unidos. Otros países con un número relativamente alto de servidores Qlik Sense vulnerables incluyen Italia con 280, Brasil con 244 y Países Bajos y Alemania con 241 y 175 respectivamente.
Fox-IT forma parte de un grupo de organizaciones de seguridad en los Países Bajos, incluido el Instituto Holandés para la Divulgación de Vulnerabilidades (DIVD), que trabajan en colaboración bajo los auspicios de un esfuerzo llamado Proyecto Melissa, para interrumpir las operaciones del grupo Cactus.
Al descubrir los servidores vulnerables, Fox-IT transmitió sus huellas digitales y datos de escaneo a DIVD, que luego comenzó a contactar a los administradores de los servidores vulnerables de Qlik Sense sobre la exposición de su organización a posibles ataques de ransomware Cactus. En algunos casos, DIVD envió las notificaciones directamente a las víctimas potenciales, mientras que en otros la organización intentó transmitirles la información a través de los equipos informáticos de respuesta a emergencias de sus respectivos países.
Las organizaciones de seguridad están notificando a las posibles víctimas del ransomware Cactus
La Fundación ShadowServer también se está acercando a organizaciones en riesgo. en un alerta crítica Esta semana, el servicio de inteligencia de amenazas sin fines de lucro describió la situación como una situación en la que una falta de remediación podría dejar a las organizaciones con una probabilidad muy alta de verse comprometidas.
"Si recibe una alerta nuestra sobre una instancia vulnerable detectada en su red o circunscripción, asuma también que su instancia y posiblemente su red están comprometidas", dijo ShadowServer. "Las instancias comprometidas se determinan de forma remota comprobando la presencia de archivos con extensión de archivo .ttf o .woff".
Fox-IT dijo que había identificado al menos 122 instancias de Qlik Sense como probablemente comprometidas a través de las tres vulnerabilidades. Cuarenta y nueve de ellos estaban en Estados Unidos; 13 en España; 11 en Italia; y el resto dispersos en otros 17 países. "Cuando el indicador de artefacto comprometido está presente en un servidor remoto de Qlik Sense, puede implicar varios escenarios", dijo Fox-IT. Por ejemplo, podría sugerir que los atacantes ejecutaron código de forma remota en el servidor, o podría ser simplemente un artefacto de un incidente de seguridad anterior.
"Es crucial comprender que 'ya comprometido' puede significar que el ransomware se implementó y los artefactos de acceso iniciales que quedaron no fueron eliminados, o que el sistema sigue comprometido y está potencialmente preparado para un futuro ataque de ransomware", dijo Fox-IT. .
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks
