去年8月和9月,Qlik 披露了这些漏洞。该公司在8月份披露了多个 Qlik Sense Enterprise for Windows 中的两个漏洞CVE-2023-41266和CVE-2023-41265。组合利用这两个漏洞可导致远程未认证攻击者在受影响系统上执行任意代码。9月份,Qlik 发布CVE-2023-48365的补丁,该漏洞可绕过8月份所修复的这两个漏洞的修复方案。
Gartner 将 Qlik 列为市场上的顶级数据可视化和BI厂商之一。
两个月之后,Arctic Wolf 报道称发现 Cactus 勒索软件的运营者利用这三个漏洞获得目标环境中的初始立足点。当时,该安全厂商表示正在响应经由Qlik Sense 漏洞引发的攻击的多个实例,并提醒称 Cactus 组织的活动正在迅速增长。
即便如此,很多组织机构似乎并未接收到这一备忘录。Fox-IT公司的研究人员在4月17日扫描发现了5205台可从互联网访问的 Qlik Sense 服务器,其中3143台服务器仍然易受攻击。其中396台位于美国,其它数量较多的国家还包括意大利(280台)、巴西(244台)、荷兰(241台)和德国(175台)。
Fox-IT是参加“Project Melissa”项目的位于荷兰的多家安全组织机构之一,这一项目与荷兰漏洞批量研究所 (DIVD) 协作,目的是破坏Cactus 组织的行动。发现这些易受攻击的服务器后,Fox-IT将指纹和扫描数据中继给DIVD,之后开始联系易受攻击的服务器管理员并告知他们所在组织机构暴露到潜在的 Cactus 勒索攻击中。在某些情况下,DIVD将这些通知直接发给潜在受害者,DIVD也会通过各自的国家计算机应急响应团队尝试中继信息。
非盈利性威胁情报服务ShadowServer Foundation也伸出援手,它在本周发布的一份重要警报中提到,如未能缓解这一情况,则组织机构的受陷程度将非常高。
ShadowServer表示,“如果你收到我们关于你所在网络或区域检测到的易受攻击实例的警报,请假设你的实例以及很可能还有网络均遭攻陷。受陷实例是通过查看具有 .ttf 或 .woff 文件扩展的文件远程判定的。”
Fox-IT 表示已发现至少122个 Qlik Sense 实例可能受这三个漏洞攻陷。其中49个位于美国,13个位于西班牙,11个位于意大利,其它分散在17个其它国家。Fox-IT公司指出,“当远程 Qlik Sense 服务器上出现受陷指标制品时,它可表明多种场景。”例如,它可能表明攻击者在该服务器上远程执行代码,或者可能只是上一次安全事件中的制品。
Fox-IT公司还提到,“了解这一点至关重要:‘已遭攻陷’可能意味着要么勒索软件已被部署以及遗留的初始访问制品并未被删除,或者系统仍受陷以及可能会被用于未来的勒索攻击。”
原文始发于微信公众号(代码卫士):数千台 Qlik Sense 服务器易受 Cactus 勒索软件攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论