Generatiivne andmeluure

Küberturvalisus

Tuhanded Qlik Sense'i serverid on avatud Cactus Ransomware'ile

Taasesitanud Platon
Taasesitanud Platon

kuupäev:

Vaadatud: 0

Peaaegu viis kuud pärast seda, kui turvateadlased hoiatasid Cactuse lunavararühma eest, mis kasutab Qlik Sense'i andmeanalüütika ja äriteabe (BI) platvormil kolme haavatavust, on paljud organisatsioonid ohu suhtes endiselt ohtlikult haavatavad.

Qlik avalikustas haavatavused augustis ja septembris. Ettevõtte augustikuu avalikustamine hõlmas kahte viga Qlik Sense Enterprise for Windowsi mitmes versioonis, mida jälgiti kui CVE-2023-41266 ja CVE-2023-41265. Aheldatud haavatavused annavad kaug-autentimata ründajale võimaluse käivitada mõjutatud süsteemides suvalist koodi. Septembris avalikustas Qlik CVE-2023-48365, mis osutus Qliki kahe eelmise august pärit vea paranduse ümbersõiduks.

Gartner on Qliki hinnanud üheks parimaks andmete visualiseerimise ja BI tarnijaks turul.

Qliki turvavigade jätkuv kasutamine

Kaks kuud hiljem, Arktika hunt teatasid, et Cactuse lunavara operaatorid kasutasid ära kolme haavatavust, et saada sihtkeskkondades esialgne tugipunkt. Sel ajal ütles turbemüüja, et reageeris mitmele juhtumile, kus kliendid puutuvad kokku rünnakutega Qlik Sense'i haavatavuste kaudu, ja hoiatas, et Cactus Group kampaania areneb kiiresti.

Sellegipoolest näib, et paljud organisatsioonid pole memot kätte saanud. Fox-IT teadlaste poolt 17. aprillil tehtud skaneering avastas kokku 5,205 Interneti-juurdepääsuga Qlik Sense'i serverit, millest 3,143 serverit olid endiselt haavatavad Cactus grupi vägitegudele. Sellest arvust 396 serverit näis asuvat USA-s. Teised riigid, kus on suhteliselt palju haavatavaid Qlik Sense'i servereid, on Itaalia (280), Brasiilia (244) ning Holland ja Saksamaa (vastavalt 241 ja 175).

Fox-IT kuulub Hollandi turvaorganisatsioonide rühma, sealhulgas Hollandi haavatavuse avalikustamise instituuti (DIVD), mis teevad koostööd projekti Melissa egiidi all, et häirida Cactus rühma tegevust.

Haavatavate serverite avastamisel edastas Fox-IT oma sõrmejäljed ja skannimisandmed DIVD-le, mis seejärel hakkas haavatavate Qlik Sense'i serverite administraatoritega ühendust võtma, et nende organisatsioon oleks kokku puutunud võimalike Cactuse lunavararünnakutega. Mõnel juhul saatis DIVD teatised otse potentsiaalsetele ohvritele, samas kui teistel juhtudel üritas organisatsioon edastada teavet neile vastava riigi arvutite hädaabimeeskondade kaudu.

Turvaorganisatsioonid teavitavad potentsiaalsetest kaktuse lunavara ohvritest

ShadowServer Foundation võtab ühendust ka riskiorganisatsioonidega. Sees kriitiline hoiatus Sel nädalal kirjeldas mittetulunduslik ohtude luureteenistus olukorda, kus heastamise ebaõnnestumine võib jätta organisatsioonidele väga suure tõenäosusega kompromisse.

"Kui saate meilt hoiatuse teie võrgus või valimisringkonnas tuvastatud haavatava juhtumi kohta, siis eeldage ka oma eksemplari ja võib-olla ka teie võrgu ohtu, " ütles ShadowServer. Ohustatud eksemplarid määratakse eemalt, kontrollides .ttf- või .woff-faililaiendiga failide olemasolu.

Fox-IT teatas, et on tuvastanud vähemalt 122 Qlik Sense'i eksemplari, mis on tõenäoliselt kolme haavatavuse kaudu ohustatud. Neist 13 olid USA-s; 11 Hispaanias; 17 Itaalias; ja ülejäänud on hajutatud XNUMX muus riigis. "Kui Qlik Sense'i kaugserveris on kompromissi artefakti indikaator, võib see tähendada erinevaid stsenaariume," ütles Fox-IT. See võib näiteks viidata sellele, et ründajad käivitasid serveris koodi kaugjuhtimise teel, või võib see olla lihtsalt eelmise turvaintsidendi artefakt.

"On ülioluline mõista, et "juba ohustatud" võib tähendada, et lunavara on kasutusele võetud ja esialgseid juurdepääsu artefakte ei eemaldatud või süsteem on endiselt ohus ja on potentsiaalselt valmis tulevaseks lunavararünnakuks," ütles Fox-IT. .

spot_img

Uusim intelligentsus

spot_img

Autoriõigus @ 2024 Plato Technologies Inc.