ClickCease CACTUS Qlik Ransomware : Vulnérabilités exploitées

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

CACTUS Qlik Ransomware : Vulnérabilités exploitées

par Wajahat Raja

Le 13 décembre 2023 - L'équipe d'experts de TuxCare

Une campagne de cyberattaque baptisée CACTUS Qlik Ransomware a pris une place prépondérante dans les attaques de ransomware contre les systèmes de veille stratégique. Les chercheurs ont mis en garde contre les acteurs de la menace qui exploitent trois vulnérabilités de sécurité de Qlik pour cibler différentes organisations et entreprises. Voyons comment les acteurs de la menace ont réussi à exploiter ces vulnérabilités et quelles sont les contre-mesures prises par Qlik.


Détails du ransomware CACTUS Qlik


Qlik Sense est une plateforme d'analyse de données et de veille stratégique (BI) basée sur le cloud, souvent utilisée par les organisations gouvernementales. CACTUS, quant à lui, est une souche de ransomware découverte en mai dernier.
Les tactiques du ransomware CACTUS à l'époque consistait à exploiter les failles connues des appliances VPN pour obtenir un accès initial.

Bien que des rapports sur le ransomware CACTUS aient fait surface pour la première fois en mai 2023, les exploits ont été retracés depuis le mois de mars. Les stratégies du groupe de pirates CACTUS étaient principalement axées sur le vol de données sensibles non cryptées avant le cryptage, puis sur l'utilisation de tactiques de double extorsion.

Les chercheurs d'Arctic Wolf ont récemment découvert les acteurs de la menace CACTUS qui exploitent vulnérabilités de sécurité de Qlik. Trois CVE utilisés pour les exploits ont été identifiés. On pense qu'après avoir obtenu un accès initial, les acteurs de la menace derrière CACTUS utilisent de multiples tactiques qui incluent :

  1. Désinstallation des logiciels de sécurité.
  2. Modification des identifiants administratifs.
  3. Installation du logiciel d'accès à distance. 
  4. Déploiement du protocole de bureau à distance (RDP) pour les déplacements latéraux.
  5. Acquisition des données et déploiement du ransomware. 

Cependant, selon Qlik, il n'y a aucune preuve que les vulnérabilités ont été exploitées par les acteurs de la menace. A déclaration de la plateforme d'analyse de données, "Bien que nos premiers avis n'aient pas indiqué de preuves d'une exploitation malveillante, nous enquêtons avec diligence sur ces nouveaux rapports."

 

Les failles de sécurité de Qlik exploitées par les acteurs de la menace


Des rapports ont fait état de
trois vulnérabilités divulguées au cours des trois derniers mois. Ces vulnérabilités sont les suivantes

  1. CVE-2023-41265 - Il s'agit d'une vulnérabilité de type HTTP request tunneling avec un niveau de gravité de 9.9. Cette vulnérabilité, si elle est exploitée, permet à un acteur de la menace d'élever ses privilèges. En outre, elle permet aux cybercriminels d'envoyer des requêtes exécutées par le serveur dorsal.
  2. CVE-2023-41266 - avec un niveau de gravité de 6,5, cette vulnérabilité transversale peut être exploitée par un attaquant distant, ce qui lui permet d'envoyer des requêtes HTTP à des points d'extrémité non autorisés.
  3. CVE-2023-48365 - une exécution de code à distance avec un score de gravité de 9.9 qui devient prévalente en raison d'une validation inexacte des en-têtes HTTP et conduit à une escalade des privilèges par le biais d'un tunnel de requête HTTP.

Les CVE-2023-41265 et CVE-2023-41266 ont été découverts en aoûtet un correctif a été publié le mois suivant. Cependant, c'est le fait que le correctif soit incomplet qui a conduit à la découverte de CVE-2023-48365.


Stratégies utilisées par le groupe de pirates CACTUS lors de l'attaque


Après l'exploitation initiale, les acteurs de la menace auraient utilisé PowerShell et le service de transfert intelligent en arrière-plan (BITS) pour mener à bien l'attaque. Ils ont utilisé les outils mentionnés ci-dessous pour créer une persistance au sein du réseau et contrôler le système à distance.

  • Solution à distance AnyDesk.
  • Un lien PuTTY qui a été renommé en "putty.exe".
  • ManageEngine UMES pour renommer les exécutables qui se présentent comme des fichiers Qlik. 

Pour enfreindre les mesures de sécurité de Qlik SenseLes attaquants ont ensuite désinstallé la solution de sécurité Sophos en changeant le mot de passe administrateur. À partir de là, le lien PuTTY a été utilisé pour configurer un RDP afin d'effectuer des mouvements latéraux au sein du réseau.

Les attaquants de CACTUS ont ensuite utilisé WizTree pour analyser l'espace disque et rclone, renommé "svchost.exe pour acquérir des données, et ont ensuite déployé le ransomware sur certains systèmes qui avaient été affectés.


Qlik Sense Contre-mesures 


D'autres détails techniques, selon Arctic Wolf, seront communiqués à l'issue de l'enquête sur la réponse à l'incident. Les chercheurs ont actuellement déclaré que
"Sur la base des chevauchements significatifs observés dans toutes les intrusions, nous attribuons toutes les attaques décrites au même acteur de la menace, qui était responsable du déploiement du ransomware Cactus."

Qlik, pour sa part, a publié des correctifs en août et en septembre et a invité ses clients à mettre à jour Qlik Sense Enterprise pour Windows. Commentant les récents exploits, l'organisation a déclaré : "Nous recommandons vivement à tous nos clients de vérifier qu'ils ont appliqué ces correctifs, "Nous recommandons vivement à tous nos clients de vérifier qu'ils ont appliqué ces correctifs. Qlik s'engage à protéger ses systèmes et fournira de plus amples informations dès qu'elles seront disponibles."

Il convient de mentionner que Qlik prétend servir 40 000 clients, ce qui confère à cette vulnérabilité une valeur primordiale pour les acteurs de la menace. L'attaque du ransomware CACTUS Qlik de CACTUS Qlik est un rappel brutal des stratégies de cybersécurité pour les logiciels de visualisation et d'analyse de données dans le monde entier.


Conclusion 


Des chercheurs ont observé des vulnérabilités dans les solutions Qlik Sense exploitées par des acteurs de la menace visant à déployer le ransomware CACTUS. Les activités des pirates à l'origine de ce ransomware et de ses souches remontent à mars 2023.

Ces attaquants obtiennent un accès autorisé, mettent en place un contrôle à distance, acquièrent des données par des mouvements latéraux et déploient des ransomwares. La gravité et les conséquences négatives potentielles de ces événements rendent nécessaire la mise en place de mesures de cybersécurité proactives. mesures de cybersécurité proactives pour les organisations du monde entier.

La source de ce document comprend des articles dans The Hacker News et SecurityWeek.

 

Résumé
CACTUS Qlik Ransomware : Vulnérabilités exploitées
Nom de l'article
CACTUS Qlik Ransomware : Vulnérabilités exploitées
Description
Apprenez tout sur le ransomware CACTUS Qlik et tenez-vous au courant de l'évolution des cybermenaces afin de préserver la sécurité de votre réseau et de votre infrastructure.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !