Gần 5 tháng sau khi các nhà nghiên cứu bảo mật cảnh báo về việc nhóm ransomware Cactus lợi dụng bộ ba lỗ hổng trong nền tảng phân tích dữ liệu Qlik Sense và thông tin kinh doanh (BI), nhiều tổ chức vẫn dễ bị đe dọa một cách nguy hiểm.

Qlik đã tiết lộ các lỗ hổng vào tháng 8 và tháng 9. Tiết lộ vào tháng 8 của công ty liên quan đến hai lỗi trong nhiều phiên bản Qlik Sense Enterprise dành cho Windows được theo dõi là CVE-2023-41266 và CVE-2023-41265. Các lỗ hổng, khi được xâu chuỗi, sẽ cung cấp cho kẻ tấn công từ xa, không được xác thực một cách để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng. Vào tháng 9, Qlik tiết lộ CVE-2023-48365, hóa ra đó là sự bỏ qua bản sửa lỗi của Qlik đối với hai lỗ hổng trước đó từ tháng 8.

Gartner đã xếp hạng Qlik là một trong những nhà cung cấp BI và trực quan hóa dữ liệu hàng đầu trên thị trường.

Tiếp tục khai thác lỗi bảo mật Qlik

Hai tháng sau, Sói tuyết đã báo cáo việc quan sát các nhà khai thác ransomware Cactus khai thác ba lỗ hổng để có được chỗ đứng ban đầu trong môi trường mục tiêu. Vào thời điểm đó, nhà cung cấp bảo mật cho biết họ đang phản hồi nhiều trường hợp khách hàng gặp phải các cuộc tấn công thông qua lỗ hổng Qlik Sense và cảnh báo về chiến dịch của nhóm Cactus đang phát triển nhanh chóng.

Mặc dù vậy, nhiều tổ chức dường như vẫn chưa nhận được bản ghi nhớ. Một cuộc quét của các nhà nghiên cứu tại Fox-IT vào ngày 17 tháng 5,205 đã phát hiện ra tổng cộng XNUMX máy chủ Qlik Sense có thể truy cập Internet, trong đó 3,143 máy chủ vẫn dễ bị tấn công đến chiến công của nhóm Cactus. Trong số đó, có 396 máy chủ được đặt tại Mỹ. Các quốc gia khác có số lượng máy chủ Qlik Sense dễ bị tấn công tương đối cao bao gồm Ý với 280, Brazil với 244, Hà Lan và Đức với 241 và 175 lần lượt.

Fox-IT nằm trong nhóm các tổ chức bảo mật ở Hà Lan - bao gồm Viện Tiết lộ Lỗ hổng bảo mật Hà Lan (DIVD) - hợp tác làm việc dưới sự bảo trợ của một nỗ lực mang tên Dự án Melissa, nhằm phá vỡ các hoạt động của nhóm Cactus.

Khi phát hiện ra các máy chủ dễ bị tấn công, Fox-IT đã chuyển tiếp dấu vân tay và quét dữ liệu của mình tới DIVD, sau đó bắt đầu liên hệ với quản trị viên của các máy chủ Qlik Sense dễ bị tấn công về khả năng tổ chức của họ gặp phải các cuộc tấn công ransomware Cactus tiềm ẩn. Trong một số trường hợp, DIVD đã gửi thông báo trực tiếp đến các nạn nhân tiềm năng trong khi ở những trường hợp khác, tổ chức này cố gắng chuyển tiếp thông tin đến họ thông qua các nhóm ứng phó khẩn cấp máy tính ở quốc gia tương ứng của họ.

Các tổ chức bảo mật đang thông báo cho các nạn nhân tiềm năng của ransomware Cactus

ShadowServer Foundation cũng đang tiếp cận các tổ chức gặp rủi ro. trong một cảnh báo quan trọng Tuần này, cơ quan tình báo mối đe dọa phi lợi nhuận đã mô tả tình huống này là một tình huống mà việc không khắc phục có thể khiến các tổ chức có khả năng bị xâm phạm rất cao.

ShadowServer cho biết: “Nếu bạn nhận được cảnh báo từ chúng tôi về một phiên bản dễ bị tấn công được phát hiện trong mạng hoặc khu vực bầu cử của bạn, vui lòng giả định rằng phiên bản của bạn và có thể cả mạng của bạn đã bị xâm phạm”. “Các trường hợp bị xâm phạm được xác định từ xa bằng cách kiểm tra sự hiện diện của các tệp có phần mở rộng tệp .ttf hoặc .woff.”

Fox-IT cho biết họ đã xác định được ít nhất 122 phiên bản Qlik Sense có khả năng bị xâm phạm thông qua ba lỗ hổng này. Bốn mươi chín người trong số họ ở Mỹ; 13 ở Tây Ban Nha; 11 ở Ý; và phần còn lại nằm rải rác trên 17 quốc gia khác. Fox-IT cho biết: “Khi dấu hiệu về hiện vật bị xâm phạm xuất hiện trên máy chủ Qlik Sense từ xa, nó có thể ám chỉ nhiều tình huống khác nhau. Ví dụ, nó có thể gợi ý rằng những kẻ tấn công đã thực thi mã từ xa trên máy chủ hoặc nó có thể đơn giản là một tạo phẩm từ một sự cố bảo mật trước đó.

Fox-IT cho biết: “Điều quan trọng là phải hiểu rằng 'đã bị xâm phạm' có thể có nghĩa là phần mềm tống tiền đã được triển khai và các thành phần truy cập ban đầu bị bỏ lại không bị xóa hoặc hệ thống vẫn bị xâm phạm và có khả năng sẵn sàng cho một cuộc tấn công bằng phần mềm tống tiền trong tương lai”. .

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks