Спустя почти пять месяцев после того, как исследователи безопасности предупредили о том, что группа вымогателей Cactus использует набор из трех уязвимостей в платформе анализа данных и бизнес-аналитики (BI) Qlik Sense, многие организации остаются опасно уязвимыми для этой угрозы.
Qlik раскрыла уязвимости в августе и сентябре. Раскрытие компании в августе касалось двух ошибок в нескольких версиях Qlik Sense Enterprise для Windows, отслеживаемых как CVE-2023-41266 и CVE-2023-41265. Уязвимости, объединенные в цепочку, дают удаленному, неавторизованному злоумышленнику возможность выполнить произвольный код в затронутых системах. В сентябре Qlik раскрыла CVE-2023-48365, что оказалось обходом исправления Qlik двух предыдущих ошибок от августа.
Gartner оценил Qlik как одного из ведущих поставщиков средств визуализации данных и бизнес-аналитики на рынке.
Продолжение использования ошибок безопасности Qlik
Два месяца спустя Арктический волк сообщил, что операторы программы-вымогателя Cactus использовали эти три уязвимости, чтобы закрепиться в целевых средах. В то время поставщик средств безопасности заявил, что реагирует на многочисленные случаи, когда клиенты сталкивались с атаками через уязвимости Qlik Sense, и предупредил, что групповая кампания Cactus быстро развивается.
Несмотря на это, многие организации, похоже, не получили меморандум. Сканирование, проведенное исследователями Fox-IT 17 апреля, выявило в общей сложности 5,205 доступных через Интернет серверов Qlik Sense, из которых 3,143 сервера все еще оставались уязвимыми к подвигам группы Cactus. Из этого числа 396 серверов расположены в США. Другие страны с относительно большим количеством уязвимых серверов Qlik Sense включают Италию с 280, Бразилию с 244, а также Нидерланды и Германию с 241 и 175 соответственно.
Fox-IT входит в группу организаций по обеспечению безопасности в Нидерландах, в которую входит Голландский институт раскрытия информации об уязвимостях (DIVD), которые совместно работают под эгидой проекта под названием Project Melissa, чтобы сорвать деятельность группы Cactus.
Обнаружив уязвимые серверы, Fox-IT передала свои отпечатки пальцев и данные сканирования в DIVD, который затем начал связываться с администраторами уязвимых серверов Qlik Sense по поводу подверженности их организации потенциальным атакам программ-вымогателей Cactus. В некоторых случаях DIVD рассылала уведомления напрямую потенциальным жертвам, в то время как в других организация пыталась передать им информацию через группы реагирования на компьютерные чрезвычайные ситуации в соответствующих странах.
Организации безопасности уведомляют потенциальных жертв программы-вымогателя Cactus
Фонд ShadowServer Foundation также обращается к организациям, находящимся в зоне риска. В критическое предупреждение На этой неделе некоммерческая служба разведки угроз описала ситуацию как ситуацию, когда неспособность исправить ситуацию может привести к очень высокой вероятности компрометации организации.
«Если вы получите от нас предупреждение об уязвимом экземпляре, обнаруженном в вашей сети или округе, пожалуйста, также предполагайте, что ваш экземпляр и, возможно, ваша сеть подверглись компрометации», — сказал ShadowServer. «Скомпрометированные экземпляры определяются удаленно путем проверки наличия файлов с расширением .ttf или .woff».
Fox-IT заявила, что выявила как минимум 122 экземпляра Qlik Sense, которые, вероятно, были скомпрометированы тремя уязвимостями. Сорок девять из них находились в США; 13 в Испании; 11 в Италии; а остальные разбросаны по 17 другим странам. «Когда индикатор артефакта компрометации присутствует на удаленном сервере Qlik Sense, это может означать различные сценарии», — заявили в Fox-IT. Например, это может свидетельствовать о том, что злоумышленники удаленно выполнили код на сервере, или это может быть просто артефакт предыдущего инцидента безопасности.
«Очень важно понимать, что «уже скомпрометировано» может означать, что либо программа-вымогатель была развернута, а оставшиеся артефакты первоначального доступа не были удалены, либо система остается скомпрометированной и потенциально готова к будущей атаке программы-вымогателя», — заявили в Fox-IT. .
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks
- :имеет
- :является
- :нет
- :куда
- 11
- 13
- 17
- 175
- 7
- a
- О нас
- доступ
- через
- администраторы
- пострадавших
- После
- Оповещение
- уже
- причислены
- среди
- an
- аналитика
- и
- появиться
- появившийся
- апрель
- произвольный
- МЫ
- AS
- предполагать
- At
- атаковать
- нападающий
- нападки
- попытка
- Август
- BE
- было
- начал
- за
- не являетесь
- Бразилия
- ошибки
- бизнес
- бизнес-аналитика
- by
- байпас
- под названием
- Кампания
- CAN
- прикованный
- контроль
- код
- Компания
- скомпрометированы
- Ослабленный
- компьютер
- продолжающийся
- может
- страны
- страна
- решающее значение
- Клиенты
- данным
- Анализ данных
- визуализация данных
- развернуть
- описано
- обнаруженный
- определены
- развивающийся
- непосредственно
- раскрытие
- обнаружение
- срывать
- Голландский
- усилие
- или
- крайняя необходимость
- встреча
- Предприятие
- средах
- выполнять
- выполненный
- эксплуатация
- эксплуатации
- использует
- Экспозиция
- расширение
- Ошибка
- Файл
- Файлы
- 5
- фиксированный
- недостатки
- Что касается
- Год основания
- от
- будущее
- Gain
- Germany
- Дайте
- группы
- было
- Есть
- High
- HTTPS
- идентифицированный
- if
- in
- инцидент
- включают
- В том числе
- Индикаторные
- информация
- начальный
- пример
- Институт
- Интеллекта
- вовлеченный
- IT
- Италии
- ЕГО
- JPG
- новее
- наименее
- Оставлять
- оставил
- Используя
- вероятность
- Вероятно
- расположенный
- многих
- Рынок
- значить
- Меморандум
- месяцев
- с разными
- Нидерланды
- сеть
- некоммерческий
- Уведомления
- уведомляющее
- номер
- наблюдающий
- of
- on
- ONE
- открытый
- Операционный отдел
- Операторы
- or
- организация
- организации
- Другое
- Другое
- внешний
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пожалуйста
- сбалансирован
- возможно
- потенциал
- потенциально
- присутствие
- представить
- предыдущий
- Проект
- вошел
- вымогателей
- Атака вымогателей
- Атаки вымогателей
- быстро
- достигнув результата
- Получать
- получила
- относительно
- оставаться
- остатки
- удаленные
- удаленно
- удален
- Сообщается
- исследователи
- те
- соответственно
- ответ
- ответ
- ОТДЫХ
- s
- Сказал
- сканирование
- рассеянный
- Сценарии
- безопасность
- смысл
- послать
- сентябрь
- сервер
- Серверы
- обслуживание
- набор
- Фонд Темного Сервера
- просто
- ситуация
- So
- некоторые
- Испания
- По-прежнему
- предлагать
- система
- системы
- цель
- команды
- который
- Ассоциация
- информация
- Нидерланды
- их
- Их
- тогда
- этой
- На этой неделе
- тысячи
- угроза
- три
- время
- в
- топ
- Всего
- Оказалось
- два
- непокрытый
- под
- понимать
- us
- различный
- продавец
- поставщики
- версии
- очень
- с помощью
- жертвы
- визуализация
- Уязвимости
- уязвимость
- Уязвимый
- предупреждал
- законопроект
- Путь..
- неделя
- были
- когда
- , которые
- в то время как
- окна
- работает
- Ты
- ВАШЕ
- зефирнет