在安全研究人員警告 Cactus 勒索軟件團(tuán)伙利用 Qlik Sense 數(shù)據(jù)分析和商業(yè)智能 (BI) 平臺(tái)中的三個(gè)漏洞的近五個(gè)月后，許多組織仍在面臨該勒索團(tuán)伙的威脅。

Qlik 在 8 月和 9 月披露了這些漏洞。該公司8月份披露的漏洞涉及Windows版Qlik Sense Enterprise多個(gè)版本中的兩個(gè)漏洞，分別被追蹤為CVE-2023-41266和CVE-2023-41265。這兩個(gè)漏洞一旦連鎖，未經(jīng)認(rèn)證的遠(yuǎn)程攻擊者就可以在受影響的系統(tǒng)上執(zhí)行任意代碼。今年 9 月，Qlik 披露了 CVE-2023-48365，該漏洞被證明是 Qlik 繞過了 8 月份對(duì)前兩個(gè)漏洞的修復(fù)。

Gartner 將 Qlik 評(píng)為市場(chǎng)上最優(yōu)秀的數(shù)據(jù)可視化和 BI 供應(yīng)商之一。

持續(xù)利用 Qlik 安全漏洞

兩個(gè)月后，Arctic Wolf報(bào)告稱，觀察到Cactus勒索軟件的操作者利用這三個(gè)漏洞在目標(biāo)環(huán)境中獲得了初步立足點(diǎn)。當(dāng)時(shí)，這家安全廠商表示，它正在對(duì)客戶遭遇通過 Qlik Sense 漏洞攻擊的多個(gè)實(shí)例做出響應(yīng)，并警告說 Cactus 集團(tuán)的活動(dòng)正在迅速發(fā)展。

盡管如此，許多組織似乎并未收到這份備忘錄。4 月 17 日，F(xiàn)ox-IT 的研究人員進(jìn)行了一次掃描，共發(fā)現(xiàn)了 5205 臺(tái)可通過互聯(lián)網(wǎng)訪問的 Qlik Sense 服務(wù)器，其中 3143 臺(tái)服務(wù)器仍然受到 Cactus 組織漏洞的攻擊。其中，396 臺(tái)服務(wù)器似乎位于美國(guó)。其他存在大量易受攻擊的 Qlik Sense 服務(wù)器的國(guó)家包括意大利（280 臺(tái)）、巴西（244 臺(tái)）、荷蘭和德國(guó)（分別為 241 臺(tái)和 175 臺(tái)）。

Fox-IT 是荷蘭一批安全組織中的一員，他們?cè)谝粋€(gè)名為 “梅麗莎項(xiàng)目”的支持下開展合作，以破壞仙人掌組織的運(yùn)作。

Fox-IT 在發(fā)現(xiàn)存在漏洞的服務(wù)器后，將其指紋和掃描數(shù)據(jù)轉(zhuǎn)發(fā)給 DIVD，DIVD 隨后開始聯(lián)系存在漏洞的 Qlik Sense 服務(wù)器的管理員，告知他們的組織面臨潛在的 Cactus 勒索軟件攻擊。在某些情況下，DIVD 直接向潛在受害者發(fā)出通知，而在其他情況下，該組織則試圖通過各自國(guó)家的計(jì)算機(jī)應(yīng)急小組向受害者轉(zhuǎn)達(dá)信息。

安全機(jī)構(gòu)正在通知仙人掌勒索軟件的潛在受害者

據(jù)悉，ShadowServer 基金會(huì)也在幫助這些面臨風(fēng)險(xiǎn)的組織。在本周的一份重要警報(bào)中，這家非營(yíng)利性威脅情報(bào)服務(wù)機(jī)構(gòu)將這種情況描述為，如果不及時(shí)補(bǔ)救，組織很有可能受到攻擊。

ShadowServer表示：如果您收到我們發(fā)出的關(guān)于在您的網(wǎng)絡(luò)或選區(qū)中檢測(cè)到易受攻擊實(shí)例的警報(bào)，那么您的網(wǎng)絡(luò)有可能受到了攻擊?？赏ㄟ^檢查是否存在擴(kuò)展名為.ttf或.woff的文件，可以遠(yuǎn)程確定是否存在受攻擊的實(shí)例。

Fox-IT表示，目前已確定至少有122個(gè)Qlik Sense實(shí)例可能因這三個(gè)漏洞而受到攻擊。其中49個(gè)在美國(guó)，13個(gè)在西班牙，11個(gè)在意大利，其余分布在其他17個(gè)國(guó)家。

當(dāng)遠(yuǎn)程 Qlik Sense 服務(wù)器上出現(xiàn)入侵指示器時(shí)，可能意味著各種情況。例如，它可能暗示攻擊者在服務(wù)器上遠(yuǎn)程執(zhí)行了代碼，也可能僅僅是以前安全事件中的遺留物。

Fox-IT 提示稱，問題的關(guān)鍵是要明白'已被入侵'可能意味著勒索軟件已被部署，但留下的初始訪問工件未被刪除，或者系統(tǒng)仍被入侵，并有可能在未來發(fā)生勒索軟件攻擊。