الآلاف من خوادم Qlik Sense مفتوحة لبرامج Cactus Ransomware

بعد ما يقرب من خمسة أشهر من تحذير الباحثين الأمنيين من قيام مجموعة Cactus Ransomware بالاستفادة من مجموعة من ثلاث نقاط ضعف في منصة Qlik Sense لتحليل البيانات وذكاء الأعمال (BI)، لا تزال العديد من المؤسسات معرضة بشكل خطير للتهديد.

وكشف Qlik عن نقاط الضعف في أغسطس وسبتمبر. تضمن الكشف الذي كشفت عنه الشركة في أغسطس وجود خطأين في إصدارات متعددة من برنامج Qlik Sense Enterprise لنظام التشغيل Windows الذي تم تتبعه باسم CVE-2023-41266 و CVE-2023-41265. عندما تكون نقاط الضعف مقيدة بالسلاسل، فإنها تمنح مهاجمًا بعيدًا وغير مصادق عليه طريقة لتنفيذ تعليمات برمجية عشوائية على الأنظمة المتأثرة. في سبتمبر، كشف كليك CVE-2023-48365، والذي تبين أنه تجاوز لإصلاح Qlik للعيوب السابقة من أغسطس.

صنفت شركة Gartner شركة Qlik كواحدة من أفضل الشركات الموردة لتصورات البيانات وذكاء الأعمال في السوق.

استمرار استغلال الأخطاء الأمنية Qlik

بعد شهرين، ذئب القطب الشمالي أبلغت عن مراقبة مشغلي برنامج الفدية Cactus وهم يستغلون نقاط الضعف الثلاثة للحصول على موطئ قدم أولي في البيئات المستهدفة. في ذلك الوقت، قال مورد الأمان إنه كان يستجيب لحالات متعددة من العملاء الذين واجهوا هجمات عبر ثغرات Qlik Sense وحذر من أن حملة مجموعة Cactus تتطور بسرعة.

ومع ذلك، يبدو أن العديد من المنظمات لم تتلق المذكرة. كشف المسح الذي أجراه الباحثون في Fox-IT في 17 أبريل عن إجمالي 5,205 خوادم Qlik Sense يمكن الوصول إليها عبر الإنترنت، منها ولا يزال 3,143 خادمًا معرضًا للخطر لمآثر مجموعة الصبار. ومن هذا العدد، يبدو أن 396 خادمًا موجود في الولايات المتحدة. وتشمل البلدان الأخرى التي لديها عدد كبير نسبيًا من خوادم Qlik Sense الضعيفة إيطاليا بـ 280 والبرازيل بـ 244 وهولندا وألمانيا بـ 241 و175 على التوالي.

تعد Fox-IT من بين مجموعة من المنظمات الأمنية في هولندا - بما في ذلك المعهد الهولندي للكشف عن الثغرات الأمنية (DIVD) - التي تعمل بشكل تعاوني تحت رعاية جهد يسمى مشروع ميليسا، لتعطيل عمليات مجموعة Cactus.

عند اكتشاف الخوادم الضعيفة، نقلت Fox-IT بصمات أصابعها ومسح البيانات إلى DIVD، والتي بدأت بعد ذلك في الاتصال بمسؤولي خوادم Qlik Sense الضعيفة حول تعرض مؤسستهم لهجمات Cactus Ransomware المحتملة. في بعض الحالات، أرسلت DIVD الإخطارات مباشرة إلى الضحايا المحتملين بينما حاولت المنظمة في حالات أخرى نقل المعلومات إليهم عبر فرق الاستجابة لطوارئ الكمبيوتر في بلدانهم.

تقوم المؤسسات الأمنية بإخطار الضحايا المحتملين لبرنامج Cactus Ransomware

تتواصل مؤسسة ShadowServer أيضًا مع المنظمات المعرضة للخطر. في تنبيه حرج هذا الأسبوع، وصفت خدمة استخبارات التهديدات غير الربحية الوضع بأنه موقف يمكن أن يؤدي فيه الفشل في المعالجة إلى ترك المؤسسات عرضة لاحتمال كبير جدًا للتسوية.

قال ShadowServer: "إذا تلقيت تنبيهًا منا بشأن مثيل ضعيف تم اكتشافه في شبكتك أو دائرتك الانتخابية، فيرجى أيضًا افتراض تعرض مثيلك وربما شبكتك للخطر". "يتم تحديد المثيلات التي تم اختراقها عن بعد عن طريق التحقق من وجود الملفات ذات ملحق الملف ‎.ttf أو ‎.woff."

وقالت Fox-IT إنها حددت ما لا يقل عن 122 حالة من حالات Qlik Sense على أنها من المحتمل أن تكون معرضة للاختراق من خلال نقاط الضعف الثلاث. تسعة وأربعون منهم كانوا في الولايات المتحدة. 13 في إسبانيا؛ 11 في إيطاليا؛ والباقي منتشر في 17 دولة أخرى. وقالت Fox-IT: "عندما يكون مؤشر التسوية موجودًا على خادم Qlik Sense البعيد، فقد يشير ذلك إلى سيناريوهات مختلفة". على سبيل المثال، يمكن أن يشير ذلك إلى أن المهاجمين نفذوا تعليمات برمجية عن بعد على الخادم، أو يمكن أن يكون ببساطة قطعة أثرية من حادث أمني سابق.

قالت Fox-IT: "من المهم أن نفهم أن عبارة "تم اختراقها بالفعل" يمكن أن تعني إما أنه تم نشر برنامج الفدية ولم تتم إزالة عناصر الوصول الأولية التي تركتها، أو أن النظام يظل معرضًا للخطر ومن المحتمل أن يكون مهيأ لهجوم فدية مستقبلي". .

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks