在安全研究人员警告 Cactus 勒索软件团伙利用 Qlik Sense 数据分析和商业智能 (BI) 平台中的三个漏洞的近五个月后,许多组织仍在面临该勒索团伙的威胁。
Qlik 在 8 月和 9 月披露了这些漏洞。该公司8月份披露的漏洞涉及Windows版Qlik Sense Enterprise多个版本中的两个漏洞,分别被追踪为CVE-2023-41266和CVE-2023-41265。这两个漏洞一旦连锁,未经认证的远程攻击者就可以在受影响的系统上执行任意代码。今年 9 月,Qlik 披露了 CVE-2023-48365,该漏洞被证明是 Qlik 绕过了 8 月份对前两个漏洞的修复。
Gartner 将 Qlik 评为市场上最优秀的数据可视化和 BI 供应商之一。
持续利用 Qlik 安全漏洞
两个月后,Arctic Wolf报告称,观察到Cactus勒索软件的操作者利用这三个漏洞在目标环境中获得了初步立足点。当时,这家安全厂商表示,它正在对客户遭遇通过 Qlik Sense 漏洞攻击的多个实例做出响应,并警告说 Cactus 集团的活动正在迅速发展。
尽管如此,许多组织似乎并未收到这份备忘录。4 月 17 日,Fox-IT 的研究人员进行了一次扫描,共发现了 5205 台可通过互联网访问的 Qlik Sense 服务器,其中 3143 台服务器仍然受到 Cactus 组织漏洞的攻击。其中,396 台服务器似乎位于美国。其他存在大量易受攻击的 Qlik Sense 服务器的国家包括意大利(280 台)、巴西(244 台)、荷兰和德国(分别为 241 台和 175 台)。
Fox-IT 是荷兰一批安全组织中的一员,他们在一个名为 “梅丽莎项目”的支持下开展合作,以破坏仙人掌组织的运作。
Fox-IT 在发现存在漏洞的服务器后,将其指纹和扫描数据转发给 DIVD,DIVD 随后开始联系存在漏洞的 Qlik Sense 服务器的管理员,告知他们的组织面临潜在的 Cactus 勒索软件攻击。在某些情况下,DIVD 直接向潜在受害者发出通知,而在其他情况下,该组织则试图通过各自国家的计算机应急小组向受害者转达信息。
安全机构正在通知仙人掌勒索软件的潜在受害者
据悉,ShadowServer 基金会也在帮助这些面临风险的组织。在本周的一份重要警报中,这家非营利性威胁情报服务机构将这种情况描述为,如果不及时补救,组织很有可能受到攻击。
ShadowServer表示:如果您收到我们发出的关于在您的网络或选区中检测到易受攻击实例的警报,那么您的网络有可能受到了攻击。可通过检查是否存在扩展名为.ttf或.woff的文件,可以远程确定是否存在受攻击的实例。
Fox-IT表示,目前已确定至少有122个Qlik Sense实例可能因这三个漏洞而受到攻击。其中49个在美国,13个在西班牙,11个在意大利,其余分布在其他17个国家。
当远程 Qlik Sense 服务器上出现入侵指示器时,可能意味着各种情况。例如,它可能暗示攻击者在服务器上远程执行了代码,也可能仅仅是以前安全事件中的遗留物。
Fox-IT 提示称,问题的关键是要明白'已被入侵'可能意味着勒索软件已被部署,但留下的初始访问工件未被删除,或者系统仍被入侵,并有可能在未来发生勒索软件攻击。
