CACTUS Ransomware abusa de vulnerabilidades
Uma campanha recente de ransomware CACTUS foi detectada explorando vulnerabilidades recentemente reveladas no Qlik Sense, uma plataforma de análise em nuvem e inteligência de negócios. Pesquisadores da Arctic Wolf, incluindo Stefan Hostetler, Markus Neis e Kyle Pagelow, identificaram este como o primeiro caso documentado em que os agentes de ameaças que usam o ransomware CACTUS aproveitaram vulnerabilidades no Qlik Sense para acesso inicial.
Vulnerabilidades exploradas pelo CACTUS
A empresa de segurança cibernética, respondendo a vários casos de exploração, destacou três vulnerabilidades divulgadas nos últimos três meses:
CVE-2023-41265 (pontuação CVSS: 9,9) – Uma vulnerabilidade de túnel de solicitação HTTP que permite que um invasor remoto eleve privilégios e execute solicitações no servidor back-end que hospeda o aplicativo de repositório.
CVE-2023-41266 (pontuação CVSS: 6,5) – Uma vulnerabilidade de passagem de caminho que permite que um invasor remoto não autenticado envie solicitações HTTP não autorizadas para endpoints específicos.
CVE-2023-48365 (pontuação CVSS: 9,9) – Uma vulnerabilidade de execução remota de código não autenticada resultante da validação inadequada de cabeçalhos HTTP, permitindo que invasores elevem privilégios por meio de tunelamento de solicitações HTTP.
Notavelmente, CVE-2023-48365 deriva de um patch incompleto para CVE-2023-41265, ambos divulgados pela Praetorian no final de agosto de 2023. Uma correção para CVE-2023-48365 foi lançada em 20 de setembro de 2023.
As observações da Arctic Wolf indicam que a exploração bem-sucedida dessas falhas leva à manipulação do serviço Qlik Sense Scheduler. Isto é usado para gerar processos que baixam ferramentas adicionais, com o objetivo de estabelecer persistência e permitir o controle remoto.
Essas ferramentas incluem ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk e Plink. Os atores da ameaça também foram observados desinstalando o software Sophos, alterando a senha da conta do administrador e criando um túnel RDP via Plink.
A sequência de ataque termina com a implantação do ransomware CACTUS, com os invasores empregando rclone para exfiltração de dados.