Qlik nel mirino del cybercrime. I server non aggiornati sono presi di mira dal ransomware Cactus

Redazione RHC : 3 Dicembre 2023 10:23

I ricercatori avvertono che il gruppo ransomware Cactus sta sfruttando vulnerabilità critiche nella soluzione di visualizzazione, esplorazione e monitoraggio dei dati Qlik Sense per ottenere l’accesso iniziale alle reti aziendali.

Alla fine di agosto di quest’anno, gli sviluppatori di Qlik Sense hanno rilasciato patch  per due vulnerabilità critiche che interessano la versione Windows della piattaforma.

Una delle vulnerabilità, il CVE-2023-41266, è un bug di path traversal e può essere utilizzato per creare sessioni anonime ed effettuare richieste HTTP a endpoint non autorizzati.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il secondo problema è identificato come CVE-2023-41265 è classificato come critico (punteggio CVSS 9,8). Questa vulnerabilità non richiede l’autenticazione e può essere utilizzata per aumentare i privilegi ed effettuare richieste HTTP sul server backend che ospita l’applicazione.

Il 20 settembre gli sviluppatori hanno scoperto che la correzione per CVE-2023-41265 era inefficace. Di conseguenza, la vulnerabilità ha ricevuto un nuovo identificatore CVE-2023-48365 e la società ha rilasciato un’altra serie di aggiornamenti .

Come riferiscono ora gli esperti di Arctic Wolf, in molte installazioni le vulnerabilità di Qlik Sense non sono ancora state risolte e gli operatori del ransomware Cactus ne approfittano.

Gli aggressori utilizzano i problemi di Qlik Sense per eseguire codice che fa sì che il servizio Qlik Sense Scheduler avvii nuovi processi. Gli aggressori utilizzano quindi PowerShell e Background Intelligent Transfer Service (BITS) per scaricare una serie di strumenti che li aiutano a compromettere il sistema e fornire accesso remoto alla macchina:

• Eseguibili di ManageEngine UEMS camuffati da file Qlik;
• AnyDesk, tratto direttamente dal sito ufficiale;
• Binario Plink (PuTTY Link), rinominato putty.exe.

Va inoltre notato che gli aggressori utilizzano vari metodi per mantenere la segretezza e raccogliere informazioni dal sistema infetto, tra cui la rimozione dell’antivirus Sophos, la modifica della password dell’amministratore e la creazione di un tunnel RDP utilizzando Plink.

Inoltre, gli aggressori utilizzano RDP per lo spostamento laterale, WizTree per l’analisi dello spazio su disco e rclone (camuffato da svchost.exe) per l’esfiltrazione dei dati. E solo nella fase finale dell’attacco, gli hacker distribuiscono il ransomware Cactus nei sistemi compromessi.

Per ridurre i rischi, gli esperti di Qlik consigliano di aggiornare Sense Enterprise per Windows alle seguenti versioni il prima possibile:

• Patch 2 di agosto 2023;
• Patch 6 di maggio 2023;
• Patch 10 di febbraio 2023;
• Patch 12 di novembre 2022;
• Patch 14 di agosto 2022;
• Patch 16 di maggio 2022;
• Patch 15 di febbraio 2022;
• Patch 17 di novembre 2021.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli