SK-CERT Bezpečnostné varovanie V20231201-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.6 |
Identifikátor |
Qlik Sense Enterprise pre Windows – aktívne zneužívané kritické bezpečnostné zraniteľnosti |
Popis |
Bezpečnostní výskumníci zverejnili informácie o aktívnom zneužívaní kritických bezpečnostných zraniteľností v produkte Qlik Sense Enterprise pre Windows na šírenie ransomwaru rodiny CACTUS. Spoločnosť Qlik dňa 20.09.2023 vydala bezpečnostné aktualizácie, ktoré opravujú predmetné zraniteľnosti. Kritické bezpečnostné zraniteľnosti s označením CVE-2023-48365 a CVE-2023-41265 spočívajú v nedostatočnom overovaní HTTP hlavičiek a vzdialený autentifikovaný útočník s právomocami používateľa by ich prostredníctvom zaslania špeciálne vytvorenej HTTP požiadavky mohol zneužiť na vykonanie škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
28.11.2023 (posledná aktualizácia 01.12.2023) |
CVE |
CVE-2023-41265, CVE-2023-41266, CVE-2023-48365 |
IOC |
45.61.147[.]176 216.107.136[.]46 144.172.122[.]30 zohoservice[.]net http://zohoservice[.]net/putty.zip http://216.107.136[.]46/Qliksens_update.zip http://216.107.136[.]46/Qliksens_updated.zip http://zohoservice[.]net/qlik-sens-Patch.zip http://zohoservice[.]net/qlik-sens-nov.zip 828e81aa16b2851561fff6d3127663ea2d1d68571f06cbd732fdf5672086924d 90b009b15eb1b5bc4a990ecdd86375fa25eaa67a8515ae6c6b3b58815d46fa82 3ac8308a7378dfe047eacd393c861d32df34bb47535972eb0a35631ab964d14d 6cb87cad36f56aefcefbe754605c00ac92e640857fd7ca5faab7b9542ef80c96 Kompletný popis útočného vektora môžete nájsť na webovej stránke bezpečnostných výskumníkov: |
Zasiahnuté systémy |
Qlik Sense Enterprise pre Windows vo verziách starších ako: November 2023 IR August 2023 Patch 2 May 2023 Patch 6 February 2023 Patch 10 November 2022 Patch 12 August 2022 Patch 14 May 2022 Patch 16 February 2022 Patch 15 November 2021 Patch 17 |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Rovnako odporúčame preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam