Güvenlik araştırmacılarının, Cactus fidye yazılımı grubunun Qlik Sense veri analitiği ve iş zekası (BI) platformundaki üç güvenlik açığından yararlandığı konusunda uyarmasından yaklaşık beş ay sonra, birçok kuruluş tehdide karşı tehlikeli derecede savunmasız olmaya devam ediyor.
Qlik, güvenlik açıklarını Ağustos ve Eylül aylarında açıkladı. Şirketin Ağustos ayı açıklaması, Qlik Sense Enterprise for Windows’un şu şekilde izlenen birden fazla sürümündeki iki hatayı içeriyordu: CVE-2023-41266 ve CVE-2023-41265. Güvenlik açıkları zincirlendiğinde uzaktaki, kimliği doğrulanmamış bir saldırgana, etkilenen sistemlerde rastgele kod yürütmesi için bir yol sağlar. Eylül ayında Qlik şunları açıkladı: CVE-2023-48365, bunun, Qlik’in Ağustos ayındaki önceki iki kusura yönelik düzeltmesinin atlanması olduğu ortaya çıktı.
Gartner, Qlik’i pazardaki en iyi veri görselleştirme ve BI sağlayıcılarından biri olarak derecelendirdi.
Qlik Güvenlik Hatalarından Sürekli Yararlanma
İki ay sonra, Arktik Kurt Cactus fidye yazılımı operatörlerinin, hedef ortamlarda ilk tutunma noktasını kazanmak için üç güvenlik açığından yararlandığını gözlemlediklerini bildirdi. O dönemde güvenlik sağlayıcısı, Qlik Sense güvenlik açıkları aracılığıyla saldırılarla karşılaşan birden fazla müşteri örneğine yanıt verdiğini söyledi ve Cactus grubu kampanyasının hızla gelişmekte olduğu konusunda uyardı.
Buna rağmen birçok kuruluşun notu almadığı görülüyor. Fox-IT’deki araştırmacılar tarafından 17 Nisan’da yapılan bir tarama, İnternet’ten erişilebilen toplam 5.205 Qlik Sense sunucusunu ortaya çıkardı; 3.143 sunucu hâlâ savunmasız durumdaydı Cactus grubunun başarılarına. Bu sayıdan 396 sunucunun ABD’de olduğu ortaya çıktı. Göreceli olarak yüksek sayıda savunmasız Qlik Sense sunucusuna sahip diğer ülkeler arasında sırasıyla 280 sunucuyla İtalya, 244 sunucuyla Brezilya ve 241 ve 175 sunucuyla Hollanda ve Almanya yer alıyor.
Fox-IT, Cactus grup operasyonlarını aksatmak için Melissa Projesi adı verilen bir çabanın himayesi altında işbirliği içinde çalışan Hollanda Güvenlik Açığı Açıklama Enstitüsü (DIVD) de dahil olmak üzere Hollanda’daki bir grup güvenlik kuruluşu arasında yer alıyor.
Fox-IT, güvenlik açığı bulunan sunucuları keşfettikten sonra parmak izlerini ve tarama verilerini DIVD’ye aktardı ve DIVD, kuruluşlarının potansiyel Cactus fidye yazılımı saldırılarına maruz kalma durumu hakkında güvenlik açığı bulunan Qlik Sense sunucularının yöneticileriyle iletişime geçmeye başladı. Bazı durumlarda DIVD, bildirimleri doğrudan potansiyel mağdurlara gönderirken, bazı durumlarda ise kuruluş, bilgileri ilgili ülkedeki bilgisayar acil durum müdahale ekipleri aracılığıyla onlara iletmeye çalıştı.
Güvenlik Kuruluşları Potansiyel Cactus Fidye Yazılımı Kurbanlarını Bildiriyor
ShadowServer Vakfı aynı zamanda risk altındaki kuruluşlara da ulaşıyor. İçinde kritik uyarı Bu hafta, kâr amacı gütmeyen tehdit istihbarat servisi, durumu, düzeltme başarısızlığının kuruluşların uzlaşma olasılığının çok yüksek olduğu bir durumla karşı karşıya bırakabileceği bir durum olarak tanımladı.
ShadowServer, “Ağınızda veya seçim bölgenizde tespit edilen savunmasız bir örnek hakkında bizden bir uyarı alırsanız, lütfen örneğinizin ve muhtemelen ağınızın tehlikeye girdiğini de varsayalım,” dedi. “Güvenliği ihlal edilen örnekler, .ttf veya .woff dosya uzantısına sahip dosyaların varlığı kontrol edilerek uzaktan belirlenir.”
Fox-IT, üç güvenlik açığı nedeniyle tehlikeye atılmış en az 122 Qlik Sense örneğinin tespit edildiğini söyledi. Bunlardan 49’u ABD’deydi; İspanya’da 13; İtalya’da 11; ve geri kalanı diğer 17 ülkeye dağılmış durumda. Fox-IT, “Uzak bir Qlik Sense sunucusunda güvenlik ihlali göstergesi mevcut olduğunda, bu çeşitli senaryolara işaret edebilir” dedi. Örneğin, saldırganların sunucuda uzaktan kod çalıştırdığını öne sürebilir veya daha önceki bir güvenlik olayından kaynaklanan bir yapı olabilir.
Fox-IT, “Zaten ele geçirilmiş olmanın, fidye yazılımının konuşlandırıldığı ve geride kalan ilk erişim yapılarının kaldırılmadığı ya da sistemin güvenliğinin ihlal edildiği ve potansiyel olarak gelecekteki bir fidye yazılımı saldırısına hazır olduğu anlamına gelebileceğini anlamak çok önemlidir” dedi. .