Actief misbruik kritieke kwetsbaarheid in Qlik Sense Server

Oude kwetsbaarheden in Qlik Sense servers zijn de afgelopen maanden actief misbruikt door een ransomwaregroepering. Onder de slachtoffers zijn enkele Nederlandse bedrijven die hun server niet bijtijds geüpdatet hebben. Dat heeft het samenwerkingsverband Melissa ontdekt. Het Digital Trust Center (DTC) heeft de afgelopen week bedrijven met een op het internet aangesloten Qlik Sense server genotificeerd.

Het betreft kwetsbaarheden in Qlik Sense Enterprise die ongeauthenticeerde kwaadwillenden in staat stellen om het systeem waar Qlik Sense op is geïnstalleerd, over te nemen. Het Nationaal Cyber Security Centrum (NCSC) heeft de inschaling van deze kwetsbaarheden verhoogd naar ‘High-High’. Dit betekent dat zowel de kans op misbruik, als de mogelijke schade groot is.  

Wat is het risico?

Het gaat binnen dit advies om drie kwetsbaarheden die bekend zijn met de volgende kenmerken: CVE-2023-41265, CVE-2023-41266, CVE-2023-48365. Deze kwetsbaarheden worden volgens securityonderzoekers van Arctic Wolf - direct of via een combinatie - misbruikt om systemen te besmetten met ransomware. Zodra toegang is verkregen, downloaden aanvallers aanvullende tools zoals AnyDesk en Plink en wijzigen ze het beheerderswachtwoord. Vervolgens wordt van het remote desktop protocol (RDP) gebruik gemaakt om door het netwerk te bewegen en de ransomware uit te rollen.

Het gaat bij deze kwetsbaarheid om een specifieke vorm van ransomware die de naam 'Cactus' draagt. Eerder deze maand werd een Nederlandse leverancier van schoolboeken en digitaal lesmateriaal ook getroffen door deze vorm van ransomware.

Wat kun je doen?

Er zijn al enige tijd updates beschikbaar voor de gemelde kwetsbaarheden. Het DTC adviseert om deze beveiligingsupdates zo snel mogelijk te (laten) installeren. Neem contact op met je IT-dienstverlener als je niet zeker weet of je gebruik maakt van een kwetsbare versie van Qlik Sense.

Voor meer informatie heeft Qlik een informatiepagina's beschikbaar gesteld:

Qlik-software kan worden gedownload vanaf de Qlik Download-pagina. Hiervoor is een login vereist.

 

 

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor zzp en mkb.