تقریباً پنج ماه پس از هشدار محققان امنیتی درباره باج‌افزار Cactus که از مجموعه‌ای از سه آسیب‌پذیری در پلتفرم تجزیه و تحلیل داده‌ها و هوش تجاری (BI) Qlik Sense استفاده می‌کند، بسیاری از سازمان‌ها به‌طور خطرناکی در برابر این تهدید آسیب‌پذیر هستند.

Qlik این آسیب‌پذیری‌ها را در ماه‌های آگوست و سپتامبر فاش کرد. افشای ماه اوت این شرکت شامل دو باگ در چندین نسخه Qlik Sense Enterprise برای ویندوز بود که به عنوان ردیابی CVE-2023-41266 و CVE-2023-41265. این آسیب‌پذیری‌ها، زمانی که زنجیره‌ای می‌شوند، به مهاجم راه دور و احراز هویت نشده راهی برای اجرای کد دلخواه در سیستم‌های آسیب‌دیده می‌دهند. در ماه سپتامبر، Qlik فاش کرد CVE-2023-48365 ، که معلوم شد دور زدن اصلاح Qlik برای دو نقص قبلی از اوت است.

گارتنر Qlik را به عنوان یکی از برترین فروشندگان تجسم داده و BI در بازار رتبه بندی کرده است.

ادامه بهره برداری از اشکالات امنیتی Qlik

دو ماه بعد ، گرگ های قطب شمال گزارش داد که اپراتورهای باج افزار کاکتوس از سه آسیب پذیری برای به دست آوردن جایگاه اولیه در محیط های هدف سوء استفاده می کنند. در آن زمان، فروشنده امنیتی گفت که در حال پاسخگویی به موارد متعددی از مشتریانی است که از طریق آسیب‌پذیری‌های Qlik Sense با حملات مواجه می‌شوند و نسبت به کمپین گروه کاکتوس هشدار داد که به سرعت در حال توسعه است.

با این حال، به نظر می رسد بسیاری از سازمان ها این یادداشت را دریافت نکرده اند. اسکن محققان در Fox-IT در 17 آوریل مجموعا 5,205 سرور Qlik Sense قابل دسترسی به اینترنت را کشف کرد که از این میان 3,143 سرور همچنان آسیب پذیر بودند به سوء استفاده های گروه کاکتوس. از این تعداد، 396 سرور در ایالات متحده قرار دارند. سایر کشورهایی که تعداد نسبتاً بالایی سرورهای آسیب پذیر Qlik Sense دارند عبارتند از: ایتالیا با 280 سرور، برزیل با 244 و هلند و آلمان به ترتیب با 241 و 175.

Fox-IT در میان گروهی از سازمان‌های امنیتی در هلند - از جمله موسسه هلندی برای افشای آسیب‌پذیری (DIVD) - است که تحت حمایت تلاشی به نام پروژه ملیسا برای ایجاد اختلال در عملیات گروه کاکتوس همکاری می‌کند.

با کشف سرورهای آسیب‌پذیر، Fox-IT اثر انگشت و داده‌های اسکن خود را به DIVD منتقل کرد، که سپس با مدیران سرورهای آسیب‌پذیر Qlik Sense درباره قرار گرفتن سازمانشان در معرض حملات باج‌افزار کاکتوس تماس گرفت. در برخی موارد، DIVD اعلان‌ها را مستقیماً برای قربانیان احتمالی ارسال می‌کرد، در حالی که در موارد دیگر، سازمان تلاش می‌کرد اطلاعات را از طریق تیم‌های واکنش اضطراری رایانه‌ای کشور مربوطه به آنها منتقل کند.

سازمان‌های امنیتی قربانیان احتمالی باج‌افزار کاکتوس را مطلع می‌کنند

بنیاد ShadowServer همچنین با سازمان های در معرض خطر تماس می گیرد. در یک هشدار بحرانی این هفته، سرویس اطلاعاتی تهدید غیرانتفاعی وضعیت را به عنوان وضعیتی توصیف کرد که در آن شکست در اصلاح می‌تواند سازمان‌ها را در معرض خطر بسیار بالایی برای سازش قرار دهد.

ShadowServer گفت: "اگر هشداری از ما در مورد یک نمونه آسیب پذیر شناسایی شده در شبکه یا حوزه انتخابیه خود دریافت کردید، لطفاً فرض کنید که نمونه شما و احتمالاً شبکه شما به خطر افتاده است." "نمونه های در معرض خطر از راه دور با بررسی وجود فایل هایی با پسوند فایل .ttf یا woff تعیین می شوند."

Fox-IT اعلام کرد که حداقل 122 مورد Qlik Sense را شناسایی کرده است که احتمالاً از طریق این سه آسیب پذیری در معرض خطر قرار گرفته اند. چهل و نه نفر از آنها در ایالات متحده بودند. 13 در اسپانیا؛ 11 در ایتالیا؛ و بقیه در 17 کشور دیگر پراکنده شدند. Fox-IT گفت: «زمانی که نشانگر مصنوع سازش در یک سرور Qlik Sense از راه دور وجود دارد، می تواند سناریوهای مختلفی را نشان دهد. برای مثال می‌تواند نشان دهد که مهاجمان کد را از راه دور روی سرور اجرا کرده‌اند، یا به سادگی می‌تواند مصنوع از یک حادثه امنیتی قبلی باشد.

فاکس آی‌تی گفت: درک این نکته ضروری است که «از قبل در معرض خطر قرار گرفته» می‌تواند به این معنی باشد که یا باج‌افزار مستقر شده است و مصنوعات دسترسی اولیه به جا مانده حذف نشده‌اند، یا سیستم در خطر باقی می‌ماند و به طور بالقوه برای یک حمله باج‌افزار آینده آماده است. .

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks