Kriittinen haavoittuvuus Qlik Sense -tuotteessa

Kriittiseksi luokiteltu haavoittuvuus Qlik Sense -tuotteessa mahdollistaa hyökkääjälle oikeuksien korottamisen sekä mielivaltaisen koodin suorittamisen Qlik Sensen arkiston (repository) taustapalvelimella. Kyberturvallisuuskeskus varoittaa haavoittuvuudesta nyt, sillä kiristyshaittaohjelmatoimijan on havaittu hyväksikäyttävän sitä.

Haavoittuvuuden hyväksikäyttö mahdollistaa hyökkääjälle oikeuksien korottamisen sekä mielivaltaisen koodin suorittamisen Qlik Sensen arkiston (repository) taustapalvelimella. Korjaava päivitys on julkaistu alunperin 31.8.2023. Korjaus ei ole kuitenkaan ollut riittävä, joten uusi päivitys on julkaistu 20.9.2023, jossa haavoittuvuus on korjattu uudella CVE tunnisteella CVE-2023-48365.

Arctic Wolf kertoo blogikirjoituksessaan (ulkoinen linkki) havainneensa Cactus -kiristyshaittaohjelmaan liitetyn toimijan hyväksikäyttäneen haavoittuvuutta toiminnassaan.

Haavoittuvuus koskee organisaatioita, jotka käyttävät kyseistä tuotetta.

Haavoittuvuuden kohde

Kaikki alla olevat Qlik Sense Enterprise for Windows ohjelmiston versiot ja niitä edeltäneet:

>= August 2023 Patch 1
>= May 2023 Patch 5
>= February 2023 Patch 9
>= November 2022 Patch 11
>= August 2022 Patch 13
>= May 2022 Patch 15
>= February 2022 Patch 14
>= November 2021 Patch 16

Mistä on kysymys?

Haavoittuvuuteen on julkaistu korjaava ohjelmistopäivitys. Haavoittuvuus on korjattu seuraavissa Qlik Sense Enterprise for Windows ohjelmiston versioissa:

August 2023 Patch 2
May 2023 Patch 6
February 2023 Patch 10
November 2022 Patch 12
August 2022 Patch 14
May 2022 Patch 16
February 2022 Patch 15
November 2021 Patch 17

Mitä voin tehdä?

Valmistajan haavoittuvuustiedote CVE-2023-48365
https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/tac-p/2120510

Valmistajan haavoittuvuustiedote CVE-2023-41266, CVE-2023-41265
https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/ta-p/2110801

Arctic Wolfin artikkeli hyväksikäytöstä
https://arcticwolf.com/resources/blog/qlik-sense-exploited-in-cactus-ransomware-campaign/

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.