CACTUS Ransomware maakt misbruik van kwetsbaarheden
Er is een recente CACTUS-ransomwarecampagne gedetecteerd waarbij misbruik werd gemaakt van nieuw ontdekte kwetsbaarheden in Qlik Sense, een cloudanalyse- en business intelligence-platform. Onderzoekers van Arctic Wolf, waaronder Stefan Hostetler, Markus Neis en Kyle Pagelow, hebben dit geïdentificeerd als het eerste gedocumenteerde geval waarin bedreigingsactoren die CACTUS-ransomware gebruiken, kwetsbaarheden in Qlik Sense hebben misbruikt voor initiële toegang.
Kwetsbaarheden uitgebuit door CACTUS
Het cyberbeveiligingsbedrijf heeft in reactie op meerdere gevallen van uitbuiting drie kwetsbaarheden benadrukt die de afgelopen drie maanden zijn onthuld:
CVE-2023-41265 (CVSS-score: 9,9) - Een HTTP Request Tunneling-kwetsbaarheid waarmee een externe aanvaller bevoegdheden kan verhogen en verzoeken kan uitvoeren op de backend-server die als host fungeert voor de repository-applicatie.
CVE-2023-41266 (CVSS-score: 6,5) - Een kwetsbaarheid bij het doorlopen van paden waardoor een niet-geverifieerde externe aanvaller ongeautoriseerde HTTP-verzoeken naar specifieke eindpunten kan sturen.
CVE-2023-48365 (CVSS-score: 9,9) - Een niet-geverifieerde kwetsbaarheid voor het uitvoeren van externe code als gevolg van onjuiste validatie van HTTP-headers, waardoor aanvallers hun bevoegdheden kunnen verhogen door het tunnelen van HTTP-verzoeken.
CVE-2023-48365 komt met name voort uit een onvolledige patch voor CVE-2023-41265, beide eind augustus 2023 bekendgemaakt door Praetorian. Op 20 september 2023 werd een oplossing voor CVE-2023-48365 uitgebracht.
De observaties van Arctic Wolf geven aan dat succesvolle exploitatie van deze tekortkomingen leidt tot manipulatie van de Qlik Sense Scheduler-service. Dit wordt gebruikt om processen voort te brengen die extra tools downloaden, met als doel persistentie tot stand te brengen en controle op afstand mogelijk te maken.
Deze tools omvatten ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk en Plink. Er zijn ook bedreigingsactoren waargenomen die Sophos-software verwijderden, het wachtwoord van de beheerdersaccount veranderden en een RDP-tunnel creëerden via Plink.
De aanvalsreeks eindigt met de inzet van CACTUS-ransomware, waarbij aanvallers rclone gebruiken voor gegevensexfiltratie.