Près de cinq mois après que des chercheurs en sécurité ont averti que le groupe de ransomwares Cactus exploitait un ensemble de trois vulnérabilités dans la plateforme d'analyse de données et de business intelligence (BI) Qlik Sense, de nombreuses organisations restent dangereusement vulnérables à la menace.
Qlik a révélé les vulnérabilités en août et septembre. La divulgation de la société en août impliquait deux bogues dans plusieurs versions de Qlik Sense Enterprise pour Windows, identifiés comme CVE-2023-41266 et CVE-2023-41265. Les vulnérabilités, lorsqu'elles sont enchaînées, donnent à un attaquant distant non authentifié un moyen d'exécuter du code arbitraire sur les systèmes affectés. En septembre, Qlik a dévoilé CVE-2023-48365, ce qui s'est avéré être un contournement du correctif de Qlik pour les deux failles précédentes du mois d'août.
Gartner a classé Qlik parmi les meilleurs fournisseurs de visualisation de données et de BI du marché.
Exploitation continue des bogues de sécurité de Qlik
Deux mois après, Loup arctique ont rapporté avoir observé des opérateurs du ransomware Cactus exploitant les trois vulnérabilités pour prendre un premier pied dans les environnements cibles. À l'époque, le fournisseur de sécurité avait déclaré qu'il répondait à plusieurs cas de clients confrontés à des attaques via les vulnérabilités de Qlik Sense et avait averti que la campagne du groupe Cactus se développait rapidement.
Malgré cela, de nombreuses organisations ne semblent pas avoir reçu la note. Une analyse effectuée par des chercheurs de Fox-IT le 17 avril a révélé un total de 5,205 XNUMX serveurs Qlik Sense accessibles sur Internet, dont 3,143 XNUMX serveurs étaient encore vulnérables aux exploits du groupe Cactus. Sur ce nombre, 396 serveurs semblaient être situés aux États-Unis. Parmi les autres pays comptant un nombre relativement élevé de serveurs Qlik Sense vulnérables figurent l'Italie avec 280, le Brésil avec 244 et les Pays-Bas et l'Allemagne avec respectivement 241 et 175.
Fox-IT fait partie d'un groupe d'organisations de sécurité aux Pays-Bas – dont l'Institut néerlandais pour la divulgation des vulnérabilités (DIVD) – travaillant en collaboration sous l'égide d'un effort appelé Projet Melissa, pour perturber les opérations du groupe Cactus.
Après avoir découvert les serveurs vulnérables, Fox-IT a transmis ses empreintes digitales et ses données d'analyse à DIVD, qui a ensuite commencé à contacter les administrateurs des serveurs Qlik Sense vulnérables au sujet de l'exposition de leur organisation aux attaques potentielles du ransomware Cactus. Dans certains cas, la DIVD a envoyé les notifications directement aux victimes potentielles tandis que dans d’autres, l’organisation a tenté de leur transmettre l’information via les équipes informatiques d’intervention d’urgence de leurs pays respectifs.
Les organisations de sécurité informent les victimes potentielles du ransomware Cactus
La Fondation ShadowServer s'adresse également aux organisations à risque. Dans un alerte critique Cette semaine, le service de renseignement sur les menaces à but non lucratif a décrit la situation comme étant une situation dans laquelle l'échec de la résolution des problèmes pourrait exposer les organisations à une très forte probabilité de compromission.
"Si vous recevez une alerte de notre part concernant une instance vulnérable détectée dans votre réseau ou votre circonscription, veuillez également supposer que votre instance et éventuellement votre réseau sont compromis", a déclaré ShadowServer. "Les instances compromises sont déterminées à distance en vérifiant la présence de fichiers portant l'extension de fichier .ttf ou .woff."
Fox-IT a déclaré avoir identifié au moins 122 instances Qlik Sense comme étant probablement compromises via les trois vulnérabilités. Quarante-neuf d’entre eux se trouvaient aux États-Unis ; 13 en Espagne ; 11 en Italie ; et le reste dispersé dans 17 autres pays. "Lorsque l'indicateur d'artefact de compromission est présent sur un serveur Qlik Sense distant, cela peut impliquer divers scénarios", a déclaré Fox-IT. Cela pourrait par exemple suggérer que les attaquants ont exécuté du code à distance sur le serveur, ou il pourrait simplement s'agir d'un artefact provenant d'un incident de sécurité antérieur.
"Il est crucial de comprendre que 'déjà compromis' peut signifier que soit le ransomware a été déployé et que les artefacts d'accès initiaux laissés sur place n'ont pas été supprimés, soit que le système reste compromis et est potentiellement prêt pour une future attaque de ransomware", a déclaré Fox-IT. .
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks
