CACTUS Ransomware abuse des vulnérabilités
Une récente campagne de ransomware CACTUS a été détectée exploitant des vulnérabilités récemment révélées dans Qlik Sense, une plateforme d'analyse et de business intelligence dans le cloud. Des chercheurs d'Arctic Wolf, dont Stefan Hostetler, Markus Neis et Kyle Pagelow, ont identifié il s'agit du premier cas documenté dans lequel des acteurs malveillants utilisant le ransomware CACTUS ont exploité les vulnérabilités de Qlik Sense pour un accès initial.
Vulnérabilités exploitées par CACTUS
La société de cybersécurité, répondant à de multiples cas d'exploitation, a mis en évidence trois vulnérabilités divulguées au cours des trois derniers mois :
CVE-2023-41265 (score CVSS : 9,9) - Une vulnérabilité de tunneling de requêtes HTTP permettant à un attaquant distant d'élever ses privilèges et d'exécuter des requêtes sur le serveur backend hébergeant l'application de référentiel.
CVE-2023-41266 (score CVSS : 6,5) - Une vulnérabilité de traversée de chemin permettant à un attaquant distant non authentifié d'envoyer des requêtes HTTP non autorisées à des points de terminaison spécifiques.
CVE-2023-48365 (score CVSS : 9,9) - Une vulnérabilité d'exécution de code à distance non authentifié résultant d'une validation incorrecte des en-têtes HTTP, permettant aux attaquants d'élever les privilèges via le tunneling des requêtes HTTP.
Notamment, CVE-2023-48365 provient d'un correctif incomplet pour CVE-2023-41265, tous deux divulgués par Praetorian fin août 2023. Un correctif pour CVE-2023-48365 a été publié le 20 septembre 2023.
Les observations d'Arctic Wolf indiquent que l'exploitation réussie de ces failles conduit à la manipulation du service Qlik Sense Scheduler. Ceci est utilisé pour générer des processus qui téléchargent des outils supplémentaires, visant à établir la persistance et à permettre le contrôle à distance.
Ces outils incluent ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk et Plink. Des acteurs malveillants ont également été observés en train de désinstaller le logiciel Sophos, de modifier le mot de passe du compte administrateur et de créer un tunnel RDP via Plink.
La séquence d'attaque se termine par le déploiement du ransomware CACTUS, les attaquants utilisant rclone pour l'exfiltration de données.