Generativní datová inteligence

Kybernetická bezpečnost

Tisíce serverů Qlik Sense otevřených pro Cactus Ransomware

Znovu publikoval Plato
Znovu publikoval Plato

Datum:

Zobrazení: 0

Téměř pět měsíců poté, co bezpečnostní výzkumníci varovali před skupinou Cactus ransomware využívající sadu tří zranitelností v platformě Qlik Sense pro analýzu dat a business intelligence (BI), zůstává mnoho organizací vůči této hrozbě nebezpečně zranitelných.

Qlik odhalil zranitelnosti v srpnu a září. Srpnové odhalení společnosti zahrnovalo dvě chyby ve více verzích Qlik Sense Enterprise pro Windows sledovaných jako CVE-2023-41266 a CVE-2023-41265. Pokud jsou zranitelnosti zřetězené, dávají vzdálenému neověřenému útočníkovi způsob, jak spustit libovolný kód na postižených systémech. V září Qlik prozradil CVE-2023-48365, což se ukázalo jako obejití Qlikovy opravy předchozích dvou nedostatků ze srpna.

Gartner zařadil Qlik jako jednoho z nejlepších dodavatelů vizualizace dat a BI na trhu.

Pokračující využívání bezpečnostních chyb Qlik

O dva měsíce později, Arktický vlk oznámili, že pozorovali provozovatele ransomwaru Cactus, jak zneužívají tři zranitelnosti k získání počátečního postavení v cílových prostředích. V té době dodavatel zabezpečení uvedl, že reaguje na několik případů, kdy se zákazníci setkali s útoky prostřednictvím zranitelností Qlik Sense, a varoval před tím, že kampaň skupiny Cactus se rychle rozvíjí.

Přesto se zdá, že mnoho organizací toto sdělení neobdrželo. Skenování výzkumníků ve Fox-IT ze 17. dubna odhalilo celkem 5,205 XNUMX serverů Qlik Sense dostupných na internetu, z toho 3,143 XNUMX serverů bylo stále zranitelných k exploitům Cactus group. Z tohoto počtu se zdálo, že 396 serverů se nachází v USA. Mezi další země s relativně vysokým počtem zranitelných serverů Qlik Sense patří Itálie s 280, Brazílie s 244 a Nizozemsko a Německo s 241 a 175.

Fox-IT patří do skupiny bezpečnostních organizací v Nizozemsku – včetně Nizozemského institutu pro odhalení zranitelnosti (DIVD) – spolupracujících pod záštitou úsilí zvaného Project Melissa, aby narušilo operace skupiny Cactus.

Po objevení zranitelných serverů Fox-IT předal své otisky prstů a naskenovaná data společnosti DIVD, která poté začala kontaktovat administrátory zranitelných serverů Qlik Sense ohledně vystavení jejich organizace potenciálním útokům ransomwaru Cactus. V některých případech DIVD rozeslal oznámení přímo potenciálním obětem, zatímco v jiných se organizace pokusila předat jim informace prostřednictvím jejich příslušných národních počítačových týmů pro tísňovou reakci.

Bezpečnostní organizace upozorňují potenciální oběti kaktusového ransomwaru

ShadowServer Foundation také oslovuje rizikové organizace. V kritická výstraha tento týden nezisková zpravodajská služba pro hrozby popsala situaci jako situaci, kdy selhání nápravy může způsobit, že organizace budou vystaveny velmi vysoké pravděpodobnosti kompromisu.

„Pokud od nás obdržíte upozornění na zranitelnou instanci zjištěnou ve vaší síti nebo volebním obvodu, předpokládejte také kompromitaci vaší instance a možná i vaší sítě,“ řekl ShadowServer. "Kompromitované instance jsou určeny vzdáleně kontrolou přítomnosti souborů s příponou .ttf nebo .woff."

Fox-IT uvedl, že identifikoval nejméně 122 instancí Qlik Sense jako pravděpodobně kompromitovaných prostřednictvím těchto tří zranitelností. 13 z nich bylo v USA; 11 ve Španělsku; 17 v Itálii; a zbytek je rozptýlen v XNUMX dalších zemích. „Když je na vzdáleném serveru Qlik Sense přítomen indikátor kompromitovaného artefaktu, může to znamenat různé scénáře,“ řekl Fox-IT. Mohlo by to například naznačovat, že útočníci spustili kód vzdáleně na serveru, nebo to může být jednoduše artefakt z předchozího bezpečnostního incidentu.

„Je důležité pochopit, že ‚již kompromitováno‘ může znamenat, že buď byl ransomware nasazen a původní přístupové artefakty, které po něm zůstaly, nebyly odstraněny, nebo systém zůstává kompromitován a je potenciálně připraven na budoucí útok ransomwaru,“ uvedl Fox-IT. .

spot_img

Nejnovější inteligence

spot_img

Copyright @ 2024 Plato Technologies Inc.