Três vulnerabilidades que afetam um produto da empresa de análise de negócios Qlik provavelmente foram exploradas em ataques de ransomware, de acordo com a empresa de operações de segurança Arctic Wolf.
A empresa de segurança cibernética relatou ter visto ataques que parecem explorar CVE-2023-41266, CVE-2023-41265 e CVE-2023-48365 para acesso inicial, com os invasores então tentando implantar o ransomware Cactus em sistemas comprometidos.
As vulnerabilidades exploradas foram descobertas pela Praetorian, com seus detalhes divulgados em Agosto e Setembrologo após a Qlik anunciar a disponibilidade de patches.
As falhas de segurança, classificado como ‘crítico’ e ‘alta gravidade’, impacta o Qlik Sense Enterprise for Windows, uma solução de análise de dados. CVE-2023-41266 é um problema de passagem de caminho que permite que um invasor remoto e não autenticado gere sessões anônimas e envie solicitações HTTP para endpoints não autorizados.
CVE-2023-41265 é uma falha de tunelamento HTTP que pode ser explorada para elevar privilégios e executar solicitações HTTP em servidores back-end que hospedam aplicativos de repositório.
Combinadas, as duas vulnerabilidades podem ser exploradas por um hacker remoto e não autenticado para executar código arbitrário e adicionar novos usuários administradores ao aplicativo Qlik Sense.
CVE-2023-48365 foi atribuído depois que pesquisadores Pretorianos conseguiram contornar o patch para CVE-2023-41265.
Embora os avisos da Qlik para essas vulnerabilidades digam atualmente que não há evidências de exploração em estado selvagem, a Arctic Wolf afirma ter visto ataques aparentemente explorando as vulnerabilidades para execução remota de código.
Depois de obter acesso inicial aos sistemas da organização visada, os cibercriminosos foram observados desinstalando software de segurança, alterando senhas de contas de administrador, instalando software de acesso remoto, usando RDP para movimentação lateral e exfiltrando dados. Em alguns casos, os invasores tentaram implantar o ransomware Cactus.
“Com base em sobreposições significativas observadas em todas as invasões, atribuímos todos os ataques descritos ao mesmo ator de ameaça, que foi responsável pela implantação do ransomware Cactus”, disse Arctic Wolf.
A Qlik afirma ter mais de 40.000 clientes, o que torna as vulnerabilidades em seus produtos altamente valiosas para os hackers.
De acordo com ZoomEye, existem mais de 17.000 instâncias do Qlik Sense expostas à Internetprincipalmente nos Estados Unidos, seguido pelo Brasil e vários países europeus.
O Ransomware de cacto está ativo desde março de 2023 e tem como alvo várias organizações importantes. Sabe-se que os cibercriminosos exploram vulnerabilidades em dispositivos VPN para acesso inicial.
Com informações de Cibersegurança Notícias e Ciberseg.