CISA Adds Qlik Sense Flaws To Its Known Exploited Vulnerabilities Catalog
2023/12/11 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Qlik Sense における2件の脆弱性 CVE-2023-41265/CVE-2023-41266 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
以下は、KEV カタログに追加された脆弱性のリストである:
CVE-2023-41265 (CVSS:9.6):Qlik Sense HTTP トンネリングの脆弱性:この脆弱性の悪用に成功した攻撃者が、ソフトウェアをホスティングしているバックエンド・サーバ上で、特権昇格および HTTP リクエスト実行を達成する可能性がある。
CVE-2023-41266 (CVSS:8.2):Qlik Sense パス・トラバーサルの脆弱性:この脆弱性の悪用に成功したリモートの未認証の攻撃者が、悪意を持って細工した HTTP リクエストを送信することで、匿名セッションの作成が可能になる。この匿名セッションにより、未承認のエンドポイントへ向けた、さらなるリクエストの送信が可能になる。
この2つの脆弱性は 2023年8月に、サイバーセキュリティ企業 Praetorian の研究者たちにより発見された。人気の研究者である Kevin Beaumont の指摘は、Praetorian が公開したエクスプロイト・チェーンを、脅威アクターたちがフルに悪用し始めたというものだ。
また、Arctic Wolf の研究者たちも、Cactus ランサムウェア・ギャングの攻撃において、この2つの脆弱性が悪用されていることを観測している。
BOD (Binding Operational Directive ) 22-01によると、既知の脆弱性を悪用する攻撃からネットワークを守るために、FCEB 機関は指定された期日までに、特定された脆弱性に対処しなければならない。CISA は、連邦政府機関に対して、2023年12月28日までに、これらの脆弱性を修正するよう命じている。
また、専門家たちは、民間組織もカタログを見直し、インフラスの脆弱性に対処することを推奨している。
Qlik Sense の脆弱性 CVE-2023-41265/CVE-2023-41266 が、CISA KEV に追加されました。この Qlik ですが、日本語の HP も提供されており、日本市場でも利用されているのだろうと推測されます。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.