聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
就在安全研究员提醒称 Cactus 勒索团伙利用 Qlik Sense 数据分析和商业情报平台中的三个漏洞的近5个月后,很多组织机构仍然易受攻击。
去年8月和9月,Qlik 披露了这些漏洞。该公司在8月份披露了多个 Qlik Sense Enterprise for Windows 中的两个漏洞CVE-2023-41266和CVE-2023-41265。组合利用这两个漏洞可导致远程未认证攻击者在受影响系统上执行任意代码。9月份,Qlik 发布CVE-2023-48365的补丁,该漏洞可绕过8月份所修复的这两个漏洞的修复方案。
Gartner 将 Qlik 列为市场上的顶级数据可视化和BI厂商之一。
Qlik 漏洞仍持续遭利用
两个月之后,Arctic Wolf 报道称发现 Cactus 勒索软件的运营者利用这三个漏洞获得目标环境中的初始立足点。当时,该安全厂商表示正在响应经由Qlik Sense 漏洞引发的攻击的多个实例,并提醒称 Cactus 组织的活动正在迅速增长。
即便如此,很多组织机构似乎并未接收到这一备忘录。Fox-IT公司的研究人员在4月17日扫描发现了5205台可从互联网访问的 Qlik Sense 服务器,其中3143台服务器仍然易受攻击。其中396台位于美国,其它数量较多的国家还包括意大利(280台)、巴西(244台)、荷兰(241台)和德国(175台)。
Fox-IT是参加“Project Melissa”项目的位于荷兰的多家安全组织机构之一,这一项目与荷兰漏洞批量研究所 (DIVD) 协作,目的是破坏Cactus 组织的行动。发现这些易受攻击的服务器后,Fox-IT将指纹和扫描数据中继给DIVD,之后开始联系易受攻击的服务器管理员并告知他们所在组织机构暴露到潜在的 Cactus 勒索攻击中。在某些情况下,DIVD将这些通知直接发给潜在受害者,DIVD也会通过各自的国家计算机应急响应团队尝试中继信息。
通知潜在受害者
非盈利性威胁情报服务ShadowServer Foundation也伸出援手,它在本周发布的一份重要警报中提到,如未能缓解这一情况,则组织机构的受陷程度将非常高。
ShadowServer表示,“如果你收到我们关于你所在网络或区域检测到的易受攻击实例的警报,请假设你的实例以及很可能还有网络均遭攻陷。受陷实例是通过查看具有 .ttf 或 .woff 文件扩展的文件远程判定的。”
Fox-IT 表示已发现至少122个 Qlik Sense 实例可能受这三个漏洞攻陷。其中49个位于美国,13个位于西班牙,11个位于意大利,其它分散在17个其它国家。Fox-IT公司指出,“当远程 Qlik Sense 服务器上出现受陷指标制品时,它可表明多种场景。”例如,它可能表明攻击者在该服务器上远程执行代码,或者可能只是上一次安全事件中的制品。
Fox-IT公司还提到,“了解这一点至关重要:‘已遭攻陷’可能意味着要么勒索软件已被部署以及遗留的初始访问制品并未被删除,或者系统仍受陷以及可能会被用于未来的勒索攻击。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
澳大利亚供应链巨头 DP World 疑遭勒索攻击,主要港口受影响
原文链接
https://www.darkreading.com/cyber-risk/more-than-3-000-qlik-sense-servers-vuln-to-cactus-ransomware-attacks
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
4159
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
