تقریباً پنج ماه پس از هشدار محققان امنیتی درباره باجافزار Cactus که از مجموعهای از سه آسیبپذیری در پلتفرم تجزیه و تحلیل دادهها و هوش تجاری (BI) Qlik Sense استفاده میکند، بسیاری از سازمانها بهطور خطرناکی در برابر این تهدید آسیبپذیر هستند.
Qlik این آسیبپذیریها را در ماههای آگوست و سپتامبر فاش کرد. افشای ماه اوت این شرکت شامل دو باگ در چندین نسخه Qlik Sense Enterprise برای ویندوز بود که به عنوان ردیابی CVE-2023-41266 و CVE-2023-41265. این آسیبپذیریها، زمانی که زنجیرهای میشوند، به مهاجم راه دور و احراز هویت نشده راهی برای اجرای کد دلخواه در سیستمهای آسیبدیده میدهند. در ماه سپتامبر، Qlik فاش کرد CVE-2023-48365 ، که معلوم شد دور زدن اصلاح Qlik برای دو نقص قبلی از اوت است.
گارتنر Qlik را به عنوان یکی از برترین فروشندگان تجسم داده و BI در بازار رتبه بندی کرده است.
ادامه بهره برداری از اشکالات امنیتی Qlik
دو ماه بعد ، گرگ های قطب شمال گزارش داد که اپراتورهای باج افزار کاکتوس از سه آسیب پذیری برای به دست آوردن جایگاه اولیه در محیط های هدف سوء استفاده می کنند. در آن زمان، فروشنده امنیتی گفت که در حال پاسخگویی به موارد متعددی از مشتریانی است که از طریق آسیبپذیریهای Qlik Sense با حملات مواجه میشوند و نسبت به کمپین گروه کاکتوس هشدار داد که به سرعت در حال توسعه است.
با این حال، به نظر می رسد بسیاری از سازمان ها این یادداشت را دریافت نکرده اند. اسکن محققان در Fox-IT در 17 آوریل مجموعا 5,205 سرور Qlik Sense قابل دسترسی به اینترنت را کشف کرد که از این میان 3,143 سرور همچنان آسیب پذیر بودند به سوء استفاده های گروه کاکتوس. از این تعداد، 396 سرور در ایالات متحده قرار دارند. سایر کشورهایی که تعداد نسبتاً بالایی سرورهای آسیب پذیر Qlik Sense دارند عبارتند از: ایتالیا با 280 سرور، برزیل با 244 و هلند و آلمان به ترتیب با 241 و 175.
Fox-IT در میان گروهی از سازمانهای امنیتی در هلند - از جمله موسسه هلندی برای افشای آسیبپذیری (DIVD) - است که تحت حمایت تلاشی به نام پروژه ملیسا برای ایجاد اختلال در عملیات گروه کاکتوس همکاری میکند.
با کشف سرورهای آسیبپذیر، Fox-IT اثر انگشت و دادههای اسکن خود را به DIVD منتقل کرد، که سپس با مدیران سرورهای آسیبپذیر Qlik Sense درباره قرار گرفتن سازمانشان در معرض حملات باجافزار کاکتوس تماس گرفت. در برخی موارد، DIVD اعلانها را مستقیماً برای قربانیان احتمالی ارسال میکرد، در حالی که در موارد دیگر، سازمان تلاش میکرد اطلاعات را از طریق تیمهای واکنش اضطراری رایانهای کشور مربوطه به آنها منتقل کند.
سازمانهای امنیتی قربانیان احتمالی باجافزار کاکتوس را مطلع میکنند
بنیاد ShadowServer همچنین با سازمان های در معرض خطر تماس می گیرد. در یک هشدار بحرانی این هفته، سرویس اطلاعاتی تهدید غیرانتفاعی وضعیت را به عنوان وضعیتی توصیف کرد که در آن شکست در اصلاح میتواند سازمانها را در معرض خطر بسیار بالایی برای سازش قرار دهد.
ShadowServer گفت: "اگر هشداری از ما در مورد یک نمونه آسیب پذیر شناسایی شده در شبکه یا حوزه انتخابیه خود دریافت کردید، لطفاً فرض کنید که نمونه شما و احتمالاً شبکه شما به خطر افتاده است." "نمونه های در معرض خطر از راه دور با بررسی وجود فایل هایی با پسوند فایل .ttf یا woff تعیین می شوند."
Fox-IT اعلام کرد که حداقل 122 مورد Qlik Sense را شناسایی کرده است که احتمالاً از طریق این سه آسیب پذیری در معرض خطر قرار گرفته اند. چهل و نه نفر از آنها در ایالات متحده بودند. 13 در اسپانیا؛ 11 در ایتالیا؛ و بقیه در 17 کشور دیگر پراکنده شدند. Fox-IT گفت: «زمانی که نشانگر مصنوع سازش در یک سرور Qlik Sense از راه دور وجود دارد، می تواند سناریوهای مختلفی را نشان دهد. برای مثال میتواند نشان دهد که مهاجمان کد را از راه دور روی سرور اجرا کردهاند، یا به سادگی میتواند مصنوع از یک حادثه امنیتی قبلی باشد.
فاکس آیتی گفت: درک این نکته ضروری است که «از قبل در معرض خطر قرار گرفته» میتواند به این معنی باشد که یا باجافزار مستقر شده است و مصنوعات دسترسی اولیه به جا مانده حذف نشدهاند، یا سیستم در خطر باقی میماند و به طور بالقوه برای یک حمله باجافزار آینده آماده است. .
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks