在安全研究人员警告 Cactus 勒索软件团伙利用 Qlik Sense 数据分析和商业智能 (BI) 平台中的三个漏洞的近五个月后,许多组织仍然容易受到威胁。
Qlik 在 8 月和 9 月披露了这些漏洞。该公司 8 月份披露的 Qlik Sense Enterprise for Windows 多个版本中存在两个错误,被追踪为 CVE-2023-41266和CVE-2023-41265。这些漏洞一旦串联起来,就会为未经身份验证的远程攻击者提供在受影响的系统上执行任意代码的方法。 9月,Qlik披露 CVE-2023-48365, 事实证明,这是 Qlik 对 8 月份前两个缺陷的修复的绕过。
Gartner 将 Qlik 评为市场上顶级数据可视化和 BI 供应商之一。
Qlik 安全漏洞的持续利用
两个月后 北极狼 据报道,观察到 Cactus 勒索软件的操作者利用这三个漏洞在目标环境中获得初步立足点。当时,该安全供应商表示,它正在对多起客户遭遇 Qlik Sense 漏洞攻击的事件做出响应,并警告 Cactus 组织活动正在迅速发展。
即便如此,许多组织似乎还没有收到这份备忘录。 Fox-IT 研究人员于 17 月 5,205 日进行的扫描发现,共有 XNUMX 个可通过互联网访问的 Qlik Sense 服务器,其中 3,143 台服务器仍然容易受到攻击 仙人掌集团的功绩。其中,396 台服务器似乎位于美国。其他易受攻击的 Qlik Sense 服务器数量相对较多的国家包括意大利(280 台)、巴西(244 台)、荷兰和德国(分别为 241 台和 175 台)。
Fox-IT 是荷兰的安全组织之一,其中包括荷兰漏洞披露研究所 (DIVD),它们在名为“梅丽莎计划”的支持下合作,以扰乱 Cactus 集团的运营。
发现易受攻击的服务器后,Fox-IT 将其指纹和扫描数据转发给 DIVD,DIVD 然后开始联系易受攻击的 Qlik Sense 服务器的管理员,了解其组织是否面临潜在的 Cactus 勒索软件攻击。在某些情况下,DIVD 直接向潜在受害者发送通知,而在其他情况下,该组织试图通过各自国家的计算机应急响应小组将信息转发给他们。
安全组织正在通知潜在的仙人掌勒索软件受害者
ShadowServer 基金会也正在向面临风险的组织伸出援手。在一个 严重警报 本周,非营利性威胁情报服务机构将这种情况描述为:如果不采取补救措施,组织很可能会受到损害。
ShadowServer 表示:“如果您收到我们关于在您的网络或选区中检测到易受攻击的实例的警报,请同时假设您的实例以及可能的网络受到了损害。” “通过检查是否存在带有 .ttf 或 .woff 文件扩展名的文件来远程确定受感染的实例。”
Fox-IT 表示,已发现至少 122 个 Qlik Sense 实例可能因这三个漏洞而受到损害。其中四十九人在美国; 13 西班牙; 11 意大利;其余的则分布在其他 17 个国家。 Fox-IT 表示:“当远程 Qlik Sense 服务器上出现受损痕迹时,这可能意味着各种情况。”例如,它可能表明攻击者在服务器上远程执行代码,或者它可能只是先前安全事件的产物。
Fox-IT 表示:“重要的是要明白,‘已经受到损害’可能意味着要么勒索软件已经部署,并且留下的初始访问工件没有被删除,要么系统仍然受到损害,并可能为未来的勒索软件攻击做好准备。” 。
