ความฉลาดทางข้อมูลเชิงกำเนิด

Cyber Security

เซิร์ฟเวอร์ Qlik Sense นับพันเปิดให้รับ Cactus Ransomware

พิมพ์ซ้ำโดยเพลโต
พิมพ์ซ้ำโดยเพลโต

วันที่:

Views: 0

เกือบห้าเดือนหลังจากที่นักวิจัยด้านความปลอดภัยเตือนกลุ่มแรนซัมแวร์ Cactus ที่ใช้ประโยชน์จากชุดช่องโหว่สามรายการในแพลตฟอร์มการวิเคราะห์ข้อมูลและระบบธุรกิจอัจฉริยะ (BI) ของ Qlik Sense องค์กรหลายแห่งยังคงเสี่ยงต่ออันตรายต่อภัยคุกคาม

Qlik เปิดเผยช่องโหว่ในเดือนสิงหาคมและกันยายน การเปิดเผยข้อมูลในเดือนสิงหาคมของบริษัทเกี่ยวข้องกับข้อบกพร่องสองประการใน Qlik Sense Enterprise สำหรับ Windows หลายเวอร์ชันที่ถูกติดตาม CVE-2023-41266 และ CVE-2023-41265- ช่องโหว่นี้เมื่อถูกล่ามโซ่จะทำให้ผู้โจมตีระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดตามอำเภอใจบนระบบที่ได้รับผลกระทบ ในเดือนกันยายน Qlik เปิดเผย CVE-2023-48365, ซึ่งกลายเป็นการเลี่ยงการแก้ไขของ Qlik สำหรับข้อบกพร่องสองประการก่อนหน้าตั้งแต่เดือนสิงหาคม

Gartner ได้จัดอันดับให้ Qlik เป็นหนึ่งในผู้จำหน่ายการแสดงภาพข้อมูลและ BI ชั้นนำในตลาด

การใช้ประโยชน์ข้อบกพร่องด้านความปลอดภัยของ Qlik อย่างต่อเนื่อง

สองเดือนต่อมา หมาป่าอาร์กติก รายงานการสังเกตการณ์โอเปอเรเตอร์ของ Cactus ransomware ซึ่งใช้ประโยชน์จากช่องโหว่ทั้งสามเพื่อตั้งหลักในสภาพแวดล้อมเป้าหมาย ในเวลานั้น ผู้จำหน่ายระบบรักษาความปลอดภัยกล่าวว่ากำลังตอบสนองต่อลูกค้าหลายรายที่ถูกโจมตีผ่านช่องโหว่ Qlik Sense และเตือนว่าแคมเปญกลุ่ม Cactus กำลังพัฒนาอย่างรวดเร็ว

ถึงกระนั้น องค์กรหลายแห่งก็ดูเหมือนจะไม่ได้รับบันทึกดังกล่าว การสแกนโดยนักวิจัยที่ Fox-IT เมื่อวันที่ 17 เมษายน เผยให้เห็นเซิร์ฟเวอร์ Qlik Sense ที่สามารถเข้าถึงอินเทอร์เน็ตได้ทั้งหมด 5,205 เครื่อง ซึ่งในจำนวนนี้ เซิร์ฟเวอร์ 3,143 เครื่องยังคงมีช่องโหว่ สู่การหาประโยชน์ของกลุ่มกระบองเพชร จากจำนวนนั้น เซิร์ฟเวอร์ 396 เครื่องดูเหมือนจะอยู่ในสหรัฐอเมริกา ประเทศอื่นๆ ที่มีเซิร์ฟเวอร์ Qlik Sense ที่มีช่องโหว่ค่อนข้างสูง ได้แก่ อิตาลี 280 เซิร์ฟเวอร์ บราซิล 244 เซิร์ฟเวอร์ และเนเธอร์แลนด์และเยอรมนี 241 และ 175 เซิร์ฟเวอร์ตามลำดับ

Fox-IT เป็นหนึ่งในกลุ่มองค์กรด้านความปลอดภัยในเนเธอร์แลนด์ รวมถึง Dutch Institute for Vulnerability Disclosure (DIVD) ที่ทำงานร่วมกันภายใต้การสนับสนุนของความพยายามที่เรียกว่า Project Melissa เพื่อขัดขวางการดำเนินงานของกลุ่ม Cactus

เมื่อค้นพบเซิร์ฟเวอร์ที่มีช่องโหว่ Fox-IT ได้ถ่ายทอดลายนิ้วมือและข้อมูลสแกนไปยัง DIVD จากนั้นจึงเริ่มติดต่อผู้ดูแลระบบของเซิร์ฟเวอร์ Qlik Sense ที่มีช่องโหว่เกี่ยวกับความเสี่ยงขององค์กรต่อการโจมตีแรนซัมแวร์ Cactus ที่อาจเกิดขึ้น ในบางกรณี DIVD ส่งการแจ้งเตือนโดยตรงไปยังผู้ที่อาจเป็นเหยื่อ ในขณะที่ในกรณีอื่นๆ องค์กรพยายามถ่ายทอดข้อมูลให้พวกเขาผ่านทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ในประเทศของตน

องค์กรรักษาความปลอดภัยกำลังแจ้งเตือนผู้ที่ตกเป็นเหยื่อของ Cactus Ransomware

นอกจากนี้ ShadowServer Foundation ยังติดต่อกับองค์กรที่มีความเสี่ยงอีกด้วย ใน การแจ้งเตือนที่สำคัญ ในสัปดาห์นี้ หน่วยข่าวกรองภัยคุกคามที่ไม่แสวงหาผลกำไร กล่าวถึงสถานการณ์ดังกล่าวว่า ความล้มเหลวในการแก้ไขอาจทำให้องค์กรต่างๆ มีโอกาสประนีประนอมสูงมาก

“หากคุณได้รับการแจ้งเตือนจากเราเกี่ยวกับอินสแตนซ์ที่มีช่องโหว่ที่ตรวจพบในเครือข่ายหรือเขตเลือกตั้งของคุณ โปรดยอมรับการบุกรุกอินสแตนซ์ของคุณและอาจเป็นเครือข่ายของคุณด้วย” ShadowServer กล่าว “อินสแตนซ์ที่ถูกบุกรุกจะถูกกำหนดจากระยะไกลโดยการตรวจสอบว่ามีไฟล์ที่มีนามสกุล .ttf หรือ .woff หรือไม่”

Fox-IT กล่าวว่าได้ระบุอินสแตนซ์ Qlik Sense อย่างน้อย 122 รายการที่อาจถูกโจมตีผ่านช่องโหว่ทั้งสามนี้ สี่สิบเก้าคนอยู่ในสหรัฐอเมริกา 13 แห่งในสเปน; 11 ในอิตาลี; และส่วนที่เหลือกระจัดกระจายไปทั่ว 17 ประเทศ “เมื่อมีตัวบ่งชี้ถึงสิ่งผิดปกติในการประนีประนอมบนเซิร์ฟเวอร์ Qlik Sense ระยะไกล อาจบ่งบอกถึงสถานการณ์ต่างๆ ได้” Fox-IT กล่าว ตัวอย่างเช่น อาจแนะนำว่าผู้โจมตีเรียกใช้โค้ดจากระยะไกลบนเซิร์ฟเวอร์ หรืออาจเป็นเพียงแค่สิ่งประดิษฐ์จากเหตุการณ์ด้านความปลอดภัยครั้งก่อนๆ

“สิ่งสำคัญคือต้องเข้าใจว่า 'ถูกบุกรุกแล้ว' อาจหมายความว่ามีการติดตั้งแรนซั่มแวร์แล้วและสิ่งประดิษฐ์การเข้าถึงเริ่มต้นที่ทิ้งไว้ไม่ได้ถูกลบออก หรือระบบยังคงถูกบุกรุกและอาจเตรียมพร้อมสำหรับการโจมตีแรนซัมแวร์ในอนาคต” Fox-IT กล่าว .

จุด_img

ข่าวกรองล่าสุด

จุด_img

ลิขสิทธิ์ @ 2024 Plato Technologies Inc.