在安全研究人員警告 Cactus 勒索軟件團伙利用 Qlik Sense 數據分析和商業智能 (BI) 平臺中的三個漏洞的近五個月后，許多組織仍在面臨該勒索團伙的威脅。

Qlik 在 8 月和 9 月披露了這些漏洞。該公司8月份披露的漏洞涉及Windows版Qlik Sense Enterprise多個版本中的兩個漏洞，分別被追蹤為CVE-2023-41266和CVE-2023-41265。這兩個漏洞一旦連鎖，未經認證的遠程攻擊者就可以在受影響的系統上執行任意代碼。今年 9 月，Qlik 披露了 CVE-2023-48365，該漏洞被證明是 Qlik 繞過了 8 月份對前兩個漏洞的修復。

Gartner 將 Qlik 評為市場上最優秀的數據可視化和 BI 供應商之一。

持續利用 Qlik 安全漏洞

兩個月后，Arctic Wolf報告稱，觀察到Cactus勒索軟件的操作者利用這三個漏洞在目標環境中獲得了初步立足點。當時，這家安全廠商表示，它正在對客戶遭遇通過 Qlik Sense 漏洞攻擊的多個實例做出響應，并警告說 Cactus 集團的活動正在迅速發展。

盡管如此，許多組織似乎并未收到這份備忘錄。4 月 17 日，Fox-IT 的研究人員進行了一次掃描，共發現了 5205 臺可通過互聯網訪問的 Qlik Sense 服務器，其中 3143 臺服務器仍然受到 Cactus 組織漏洞的攻擊。其中，396 臺服務器似乎位于美國。其他存在大量易受攻擊的 Qlik Sense 服務器的國家包括意大利（280 臺）、巴西（244 臺）、荷蘭和德國（分別為 241 臺和 175 臺）。

Fox-IT 是荷蘭一批安全組織中的一員，他們在一個名為 “梅麗莎項目”的支持下開展合作，以破壞仙人掌組織的運作。

Fox-IT 在發現存在漏洞的服務器后，將其指紋和掃描數據轉發給 DIVD，DIVD 隨后開始聯系存在漏洞的 Qlik Sense 服務器的管理員，告知他們的組織面臨潛在的 Cactus 勒索軟件攻擊。在某些情況下，DIVD 直接向潛在受害者發出通知，而在其他情況下，該組織則試圖通過各自國家的計算機應急小組向受害者轉達信息。

安全機構正在通知仙人掌勒索軟件的潛在受害者

據悉，ShadowServer 基金會也在幫助這些面臨風險的組織。在本周的一份重要警報中，這家非營利性威脅情報服務機構將這種情況描述為，如果不及時補救，組織很有可能受到攻擊。

ShadowServer表示：如果您收到我們發出的關于在您的網絡或選區中檢測到易受攻擊實例的警報，那么您的網絡有可能受到了攻擊。可通過檢查是否存在擴展名為.ttf或.woff的文件，可以遠程確定是否存在受攻擊的實例。

Fox-IT表示，目前已確定至少有122個Qlik Sense實例可能因這三個漏洞而受到攻擊。其中49個在美國，13個在西班牙，11個在意大利，其余分布在其他17個國家。

當遠程 Qlik Sense 服務器上出現入侵指示器時，可能意味著各種情況。例如，它可能暗示攻擊者在服務器上遠程執行了代碼，也可能僅僅是以前安全事件中的遺留物。

Fox-IT 提示稱，問題的關鍵是要明白'已被入侵'可能意味著勒索軟件已被部署，但留下的初始訪問工件未被刪除，或者系統仍被入侵，并有可能在未來發生勒索軟件攻擊。