SK-CERT Bezpečnostné varovanie V20231201-01

1. decembra 2023

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.6

Identifikátor

Qlik Sense Enterprise pre Windows – aktívne zneužívané kritické bezpečnostné zraniteľnosti

Popis

Bezpečnostní výskumníci zverejnili informácie o aktívnom zneužívaní kritických bezpečnostných zraniteľností v produkte Qlik Sense Enterprise pre Windows na šírenie ransomwaru rodiny CACTUS.
Spoločnosť Qlik dňa 20.09.2023 vydala bezpečnostné aktualizácie, ktoré opravujú predmetné zraniteľnosti.
Kritické bezpečnostné zraniteľnosti s označením CVE-2023-48365 a CVE-2023-41265 spočívajú v nedostatočnom overovaní HTTP hlavičiek a vzdialený autentifikovaný útočník s právomocami používateľa by ich prostredníctvom zaslania špeciálne vytvorenej HTTP požiadavky mohol zneužiť na vykonanie škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

28.11.2023 (posledná aktualizácia 01.12.2023)

CVE

CVE-2023-41265, CVE-2023-41266, CVE-2023-48365

IOC

45.61.147[.]176
216.107.136[.]46
144.172.122[.]30
zohoservice[.]net
http://zohoservice[.]net/putty.zip
http://216.107.136[.]46/Qliksens_update.zip
http://216.107.136[.]46/Qliksens_updated.zip
http://zohoservice[.]net/qlik-sens-Patch.zip
http://zohoservice[.]net/qlik-sens-nov.zip
828e81aa16b2851561fff6d3127663ea2d1d68571f06cbd732fdf5672086924d
90b009b15eb1b5bc4a990ecdd86375fa25eaa67a8515ae6c6b3b58815d46fa82
3ac8308a7378dfe047eacd393c861d32df34bb47535972eb0a35631ab964d14d
6cb87cad36f56aefcefbe754605c00ac92e640857fd7ca5faab7b9542ef80c96

Kompletný popis útočného vektora môžete nájsť na webovej stránke bezpečnostných výskumníkov:
https://www.arcticwolf.com/resources/blog/qlik-sense-exploited-in-cactus-ransomware-campaign/

Zasiahnuté systémy

Qlik Sense Enterprise pre Windows vo verziách starších ako:
November 2023 IR
August 2023 Patch 2
May 2023 Patch 6
February 2023 Patch 10
November 2022 Patch 12
August 2022 Patch 14
May 2022 Patch 16
February 2022 Patch 15
November 2021 Patch 17

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Rovnako odporúčame preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/tac-p/2120510
https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/ta-p/2110801
https://www.arcticwolf.com/resources/blog/cve-2023-41265-cve-2023-41266-cve-2023-48365/
https://www.arcticwolf.com/resources/blog/qlik-sense-exploited-in-cactus-ransomware-campaign/
https://thehackernews.com/2023/11/cactus-ransomware-exploits-qlik-sense.html

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20231201-01

SK-CERT Bezpečnostné varovanie V20240429-02

SK-CERT Bezpečnostné varovanie V20240429-01

SK-CERT Bezpečnostné varovanie V20240426-05