數千台 Qlik Sense伺服器仍面臨 Cactus勒索軟體攻擊威脅

外媒報導，安全研究人員在約5個月前就警告Cactus勒索軟體集團利用Qlik Sense資料分析及商業智慧平台的3個漏洞展開攻擊，但許多組織至今仍然處於嚴重風險中。根據Gartner評等，Qlik是市場頂尖的資料視覺化及商業智慧廠商之一。
 
Qlik公司分別在2023年8月和9月公布這些漏洞。8月份公布的漏洞是Qlik Sense Enterprise for Windows多個版本的兩個漏洞，編號為CVE-2023-41266和CVE-2023-41265。這兩個漏洞可以被串連利用，讓遠端的未經驗證攻擊者在受影響系統執行任意程式碼。而9月揭露的CVE-2023-48365則是對8月的修補程式繞過的方法。
 
研究人員持續觀察到Cactus勒索軟體正在利用這3個漏洞，取得目標環境的初步立足點。Fox-IT的研究人員在4月17日的掃描中發現，總計有5,205台可從網際網路存取的Qlik Sense伺服器，其中3,143台仍舊面臨Cactus威脅。在這些易受攻擊的伺服器中，有396台位於美國境內。其他擁有大量易受攻擊Qlik Sense伺服器的國家包括義大利(280台)、 巴西(244台)、荷蘭(241台)和德國(175台)。
 
Fox-IT是荷蘭一組致力阻止Cactus集團運作的資安組織之一，與荷蘭資安機構DIVD等單位合作，共同參與名為Project Melissa的行動。
 
Fox-IT表示，至少已確認122個Qlik Sense實例可能遭到這3個漏洞利用而遭入侵，其中49個在美國、13個在西班牙、11個在義大利，其餘則分散在另外17個國家。

Fox-IT表示，如果在遠端Qlik Sense伺服器上存在入侵跡證，可能意味著多種情況，例如攻擊者在伺服器上遠端執行了程式碼，或是先前安全事件留下的足跡。
 
Fox-IT進一步說明，『已被入侵』可能意味著兩種情況：一種是勒索軟體已經部署但初始存取跡證未被移除；另一種則是系統仍受控制，可能隨時將面臨未來的勒索攻擊。

本文轉載自darkreading。