Se ha detectado una campaña maliciosa que está aprovechando recientes vulnerabilidades en Qlik Sense (plataforma de Análisis e Inteligencia Empresarial en la nube), para infiltrarse en entornos específicos.

Lo expertos en seguridad de Arctic Wolf Networks, Stefan Hostetler, Markus Neis y Kyle Pagelowde, afirman que esta campaña de Cactus Ransomware es el primer caso registrado en el que los operadores han usado estas vulnerabilidades como punto de entrada inicial. La firma de ciberseguridad, ha señalado que los ataques están relacionados con tres fallos de seguridad:

  • CVE-2023-41266 CVSS 6,5: ‘Path Traversal’, permite a un atacante remoto no autenticado enviar solicitudes HTTP a puntos de conexión no autorizados.
  • CVE-2023-41265 CVSS 9,9: ‘HTTP Request Tunneling’, permite a un atacante remoto elevar privilegios y enviar solicitudes que son ejecutadas por el Backend.
  • CVE-2023-48365 CVSS 9,9: ‘Ejecución remota de código sin autenticación’, surge debido a una validación incorrecta de encabezados HTTP y, permite a un atacante remoto elevar sus privilegios mediante ‘HTTP Request Tunneling’.

Una vez explotadas estas fallas, los atacantes utilizan el servicio Qlik Sense Scheduler para iniciar procesos adicionales.

Los atacantes emplean PowerShell y el servicio de transferencia inteligente en segundo plano (BITS) para descargar herramientas que establezcan la persistencia y habilitar acceso remoto al sistema afectado. Esto incluye la manipulación de ManageEngine Unified Endpoint Management and Security (UEMS) disfrazados de archivos Qlik, AnyDesk (obtenido del sitio oficial) y Plink (PuTTY Link | putty.exe).

Además, se observó que el actor de amenazas:

  • Utiliza msiexec para desinstalar Sophos a través de su GUID.
  • Cambia la contraseña de la cuenta de administrador.
  • Establece un túnel RDP (utilizado para el movimiento lateral) a través de Plink.

Estos eventos representan la etapa final de la cadena de ataques, que culmina con la implantación de Cactus Ransomware, mientras que los atacantes también emplean otras herramientas como rclone (bajo el nombre de svchost.exe) para sustraer información sensible.

Fuente:

Cactus ransomware exploiting Qlik Sense flaws to breach networks