Cactus fidye yazılımı çetesi, Kasım 2023’ten beri CVE-2023-41266 (Yol Geçişi), CVE-2023-41265 (HTTP istek Tüneli Oluşturma) ve CVE-2023-48365 (Kimliği Doğrulanmamış Uzaktan Kod) gibi birden fazla güvenlik açığını kullanarak savunmasız Qlik sense sunucularından yararlanıyor Uygulamak).
Qlik bu güvenlik açıklarını birden fazla güvenlik tavsiyesiyle ele almış olsa da binlerce sunucu istismara karşı savunmasız durumda.
QlikSense, işletmelerin veri analizi ve diğer işlemleri gerçekleştirmesine yardımcı olabilecek bir veri görselleştirme ve iş zekası aracıdır.
Teknik Analiz
İstatistiksel Tehdit Raporları
Cyber Security News’in haberine göre tehdit aktörleri, yazılım açıklarıyla bu QlikSense sunucularını hedef alıyor ve kurbanları uydurma hikayelerle yanıltıyordu.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Bununla birlikte Shadowserver’ın raporları, 5.200’den fazla internete açık Qlik sunucusu bulunduğunu ve bunların arasında 3.100’den fazla kişinin Cactus grubu tarafından istismar edilmeye açık olduğunu gösteriyor.
Yalnızca Hollanda’da 241 sistem keşfedildi ve tehdit aktörleri halihazırda bunlardan 6’sını ele geçirdi.
Sunucuların ve güvenliği ihlal edilmiş sunucuların listesinin belirlenmesi birden fazla araştırma adımını içeriyordu.
Savunmasız Qlik Sense Sunucularını Belirleme
İnternette açığa çıkan güvenlik açığı bulunan QlikSense sunucularını tanımlamak için kullanılabilecek mevcut bir Nuclei şablonu mevcuttur.
Ancak araştırmacılar, savunmasız sunucuları bulmak için “product-info.json” dosyasını kullandılar.
Bu dosya, sürüm etiketi ve sürüm numaraları gibi sunucu hakkında, çalışan QlikSense sunucusunun tam sürümünü ortaya çıkarabilecek çeşitli ayrıntıları içerir.
Ayrıca sürüm etiketi parametresi, son güncellemenin Qlik sense sunucusuna sağlandığını belirten “Şubat 2022 Yaması 3” gibi bilgileri ve ilgili danışma belgesini içerir.
Product-info.json dosyasından bu bilgiyi almak için aşağıdaki cURL komutu kullanılabilir.
curl -H "Host: localhost" -vk 'https:///resources/autogenerated/product-info.json?.ttf'
.ttf (True Type Font dosyası), komutta isteği bir .ttf dosyasına yönlendirmek için kullanılır. Yazı tipi dosyalarına Qlik sense sunucularında kimlik doğrulaması yapılmadan erişilebilir ve “Host:localhost”, 400 hatalı isteğe verilen HTTP yanıtını atlamak için kullanılır.
Yamalı bir sunucuda sunucu yanıt olarak “Bu konumda 302 Kimlik Doğrula” ifadesini döndürürken, savunmasız bir sunucu 200 OK yanıtıyla dosyanın bilgilerini ortaya çıkaracaktır.
Ayrıca, Qlik sunucusundan “Kasım 2023” içeren içeriğe sahip bir 302 yanıtı veya yayın etiketi parametresi, güvenlik açığı olmayan bir sunucu olarak kabul edilir.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Güvenliği Tehlikeye Girmiş Qlik Sense Sunucuları Nasıl Bulunur?
Arctic Wolf’un açıkladığı gibi, Cactus fidye yazılımı grubu, komutların çıktısını adlı bir TTF dosyasına yönlendiriyor. qle.ttf.
Tehdit grubu bazı durumlarda qle.woff dosyasını da kullandı. Üstelik bu istismar dosyalarına kimlik doğrulaması yapılmadan da erişilebilir.
Bu özel dosya türlerini kontrol ederken yaklaşık 122 sunucunun olduğu ortaya çıktı; bunların arasında en yüksek sayı 49 ile Amerika Birleşik Devletleri’nde, onu 13 sunucu İspanya’da, 11 sunucu İtalya’da, 8 sunucu Birleşik Krallık’ta, 7 sunucu takip ediyor. Almanya ve İrlanda’da sunucular ve Hollanda’da 6 sunucu.
Tehdit aktörlerinin bu güvenlik açıklarından yararlanmasını önlemek için kuruluşların ve QlikSense sunucularının kullanıcılarının güvenlik önerileri uyarınca en son sürümlere yükseltmeleri önerilir.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training ->
Try Free Demo