在安全研究人員警告 Cactus 勒索軟件團(tuán)伙利用 Qlik Sense 數(shù)據(jù)分析和商業(yè)智能 (BI) 平臺中的三個漏洞的近五個月后，許多組織仍在面臨該勒索團(tuán)伙的威脅。

Qlik 在 8 月和 9 月披露了這些漏洞。該公司8月份披露的漏洞涉及Windows版Qlik Sense Enterprise多個版本中的兩個漏洞，分別被追蹤為CVE-2023-41266和CVE-2023-41265。這兩個漏洞一旦連鎖，未經(jīng)認(rèn)證的遠(yuǎn)程攻擊者就可以在受影響的系統(tǒng)上執(zhí)行任意代碼。今年 9 月，Qlik 披露了 CVE-2023-48365，該漏洞被證明是 Qlik 繞過了 8 月份對前兩個漏洞的修復(fù)。

Gartner 將 Qlik 評為市場上最優(yōu)秀的數(shù)據(jù)可視化和 BI 供應(yīng)商之一。

持續(xù)利用 Qlik 安全漏洞

兩個月后，Arctic Wolf報告稱，觀察到Cactus勒索軟件的操作者利用這三個漏洞在目標(biāo)環(huán)境中獲得了初步立足點(diǎn)。當(dāng)時，這家安全廠商表示，它正在對客戶遭遇通過 Qlik Sense 漏洞攻擊的多個實(shí)例做出響應(yīng)，并警告說 Cactus 集團(tuán)的活動正在迅速發(fā)展。

盡管如此，許多組織似乎并未收到這份備忘錄。4 月 17 日，F(xiàn)ox-IT 的研究人員進(jìn)行了一次掃描，共發(fā)現(xiàn)了 5205 臺可通過互聯(lián)網(wǎng)訪問的 Qlik Sense 服務(wù)器，其中 3143 臺服務(wù)器仍然受到 Cactus 組織漏洞的攻擊。其中，396 臺服務(wù)器似乎位于美國。其他存在大量易受攻擊的 Qlik Sense 服務(wù)器的國家包括意大利（280 臺）、巴西（244 臺）、荷蘭和德國（分別為 241 臺和 175 臺）。

Fox-IT 是荷蘭一批安全組織中的一員，他們在一個名為 “梅麗莎項(xiàng)目”的支持下開展合作，以破壞仙人掌組織的運(yùn)作。

Fox-IT 在發(fā)現(xiàn)存在漏洞的服務(wù)器后，將其指紋和掃描數(shù)據(jù)轉(zhuǎn)發(fā)給 DIVD，DIVD 隨后開始聯(lián)系存在漏洞的 Qlik Sense 服務(wù)器的管理員，告知他們的組織面臨潛在的 Cactus 勒索軟件攻擊。在某些情況下，DIVD 直接向潛在受害者發(fā)出通知，而在其他情況下，該組織則試圖通過各自國家的計算機(jī)應(yīng)急小組向受害者轉(zhuǎn)達(dá)信息。

安全機(jī)構(gòu)正在通知仙人掌勒索軟件的潛在受害者

據(jù)悉，ShadowServer 基金會也在幫助這些面臨風(fēng)險的組織。在本周的一份重要警報中，這家非營利性威脅情報服務(wù)機(jī)構(gòu)將這種情況描述為，如果不及時補(bǔ)救，組織很有可能受到攻擊。

ShadowServer表示：如果您收到我們發(fā)出的關(guān)于在您的網(wǎng)絡(luò)或選區(qū)中檢測到易受攻擊實(shí)例的警報，那么您的網(wǎng)絡(luò)有可能受到了攻擊。可通過檢查是否存在擴(kuò)展名為.ttf或.woff的文件，可以遠(yuǎn)程確定是否存在受攻擊的實(shí)例。

Fox-IT表示，目前已確定至少有122個Qlik Sense實(shí)例可能因這三個漏洞而受到攻擊。其中49個在美國，13個在西班牙，11個在意大利，其余分布在其他17個國家。

當(dāng)遠(yuǎn)程 Qlik Sense 服務(wù)器上出現(xiàn)入侵指示器時，可能意味著各種情況。例如，它可能暗示攻擊者在服務(wù)器上遠(yuǎn)程執(zhí)行了代碼，也可能僅僅是以前安全事件中的遺留物。

Fox-IT 提示稱，問題的關(guān)鍵是要明白'已被入侵'可能意味著勒索軟件已被部署，但留下的初始訪問工件未被刪除，或者系統(tǒng)仍被入侵，并有可能在未來發(fā)生勒索軟件攻擊。