Тысячи серверов Qlik Sense открыты для программ-вымогателей Cactus

Спустя почти пять месяцев после того, как исследователи безопасности предупредили о том, что группа вымогателей Cactus использует набор из трех уязвимостей в платформе анализа данных и бизнес-аналитики (BI) Qlik Sense, многие организации остаются опасно уязвимыми для этой угрозы.

Qlik раскрыла уязвимости в августе и сентябре. Раскрытие компании в августе касалось двух ошибок в нескольких версиях Qlik Sense Enterprise для Windows, отслеживаемых как CVE-2023-41266 и CVE-2023-41265. Уязвимости, объединенные в цепочку, дают удаленному, неавторизованному злоумышленнику возможность выполнить произвольный код в затронутых системах. В сентябре Qlik раскрыла CVE-2023-48365, что оказалось обходом исправления Qlik двух предыдущих ошибок от августа.

Gartner оценил Qlik как одного из ведущих поставщиков средств визуализации данных и бизнес-аналитики на рынке.

Продолжение использования ошибок безопасности Qlik

Два месяца спустя Арктический волк сообщил, что операторы программы-вымогателя Cactus использовали эти три уязвимости, чтобы закрепиться в целевых средах. В то время поставщик средств безопасности заявил, что реагирует на многочисленные случаи, когда клиенты сталкивались с атаками через уязвимости Qlik Sense, и предупредил, что групповая кампания Cactus быстро развивается.

Несмотря на это, многие организации, похоже, не получили меморандум. Сканирование, проведенное исследователями Fox-IT 17 апреля, выявило в общей сложности 5,205 доступных через Интернет серверов Qlik Sense, из которых 3,143 сервера все еще оставались уязвимыми к подвигам группы Cactus. Из этого числа 396 серверов расположены в США. Другие страны с относительно большим количеством уязвимых серверов Qlik Sense включают Италию с 280, Бразилию с 244, а также Нидерланды и Германию с 241 и 175 соответственно.

Fox-IT входит в группу организаций по обеспечению безопасности в Нидерландах, в которую входит Голландский институт раскрытия информации об уязвимостях (DIVD), которые совместно работают под эгидой проекта под названием Project Melissa, чтобы сорвать деятельность группы Cactus.

Обнаружив уязвимые серверы, Fox-IT передала свои отпечатки пальцев и данные сканирования в DIVD, который затем начал связываться с администраторами уязвимых серверов Qlik Sense по поводу подверженности их организации потенциальным атакам программ-вымогателей Cactus. В некоторых случаях DIVD рассылала уведомления напрямую потенциальным жертвам, в то время как в других организация пыталась передать им информацию через группы реагирования на компьютерные чрезвычайные ситуации в соответствующих странах.

Организации безопасности уведомляют потенциальных жертв программы-вымогателя Cactus

Фонд ShadowServer Foundation также обращается к организациям, находящимся в зоне риска. В критическое предупреждение На этой неделе некоммерческая служба разведки угроз описала ситуацию как ситуацию, когда неспособность исправить ситуацию может привести к очень высокой вероятности компрометации организации.

«Если вы получите от нас предупреждение об уязвимом экземпляре, обнаруженном в вашей сети или округе, пожалуйста, также предполагайте, что ваш экземпляр и, возможно, ваша сеть подверглись компрометации», — сказал ShadowServer. «Скомпрометированные экземпляры определяются удаленно путем проверки наличия файлов с расширением .ttf или .woff».

Fox-IT заявила, что выявила как минимум 122 экземпляра Qlik Sense, которые, вероятно, были скомпрометированы тремя уязвимостями. Сорок девять из них находились в США; 13 в Испании; 11 в Италии; а остальные разбросаны по 17 другим странам. «Когда индикатор артефакта компрометации присутствует на удаленном сервере Qlik Sense, это может означать различные сценарии», — заявили в Fox-IT. Например, это может свидетельствовать о том, что злоумышленники удаленно выполнили код на сервере, или это может быть просто артефакт предыдущего инцидента безопасности.

«Очень важно понимать, что «уже скомпрометировано» может означать, что либо программа-вымогатель была развернута, а оставшиеся артефакты первоначального доступа не были удалены, либо система остается скомпрометированной и потенциально готова к будущей атаке программы-вымогателя», — заявили в Fox-IT. .

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks