Arctic Wolf araştırmacıları, saldırganların hedef kuruluşlara Cactus fidye yazılımı dağıtmak için internete yönelik Qlik Sense bulut sunucularındaki üç kritik güvenlik açığından yararlandığı konusunda uyardı.
İstismar edilen güvenlik açıkları
Qlik Sense, kamu kurumları ve kuruluşları arasında popüler olan bir iş zekası ve veri analitiği çözümüdür.
Cactus fidye yazılımını kullanan saldırganların daha önce VPN cihazlarındaki güvenlik açıklarından yararlanarak büyük ticari kuruluşlara saldırıda bulundukları görüldü. Grup aynı zamanda çifte gasp taktikleri de uyguluyor.
Arctic Wolf Labs araştırmacıları, “Yama düzeyine dayalı olarak Qlik Sense’in, kod yürütmeyi gerçekleştirmek için CVE-2023-41266, CVE-2023-41265 veya potansiyel olarak CVE-2023-48365’in kombinasyonu veya doğrudan kötüye kullanılması yoluyla büyük olasılıkla istismar edildiğini” belirtti.
CVE-2023-41266, bir saldırganın kötü niyetli HTTP istekleri yoluyla anonim bir oturum oluşturmasına ve yetkisiz uç noktalara başka istekler göndermesine olanak tanıyan bir yol geçiş güvenlik açığıdır.
CVE-2023-41265, saldırganın barındırma arka uç sunucusunda HTTP isteklerini yürütme ayrıcalıklarını yükseltebilecek bir HTTP tünelleme güvenlik açığıdır.
CVE-2023-41265 düzeltmesi HTTP isteği değiştirilerek atlanabileceğinden CVE-2023-48365 daha sonra yayınlandı.
Güvenlik araştırmacısı Kevin Beaumont, “Qlik Sense güvenlik açıkları, InfoSec satıcısı Praetorian tarafından Ağustos ve Eylül aylarında keşfedildi; ne yazık ki, fidye yazılımı grubunun toptan kaldırdığı tam bir yararlanma zinciri yayınladılar” dedi.
Saldırı
Başarılı bir istismarın ardından saldırganlar, kalıcılık kazanmalarına ve sistemi uzaktan kontrol etmelerine olanak tanıyan aşağıdaki araçları indirmek için PowerShell ve Arka Plan Akıllı Aktarım Hizmeti’nden (BITS) yararlandı:
- Qlik dosyaları gibi görünen ManageEngine UEMS yürütülebilir dosyaları yeniden adlandırıldı
- AnyDesk uzaktan çözümü, resmi siteden alınmıştır
- Putty.exe olarak yeniden adlandırılan bir Plink (PuTTY Link) ikili programı
Saldırganlar ayrıca Sophos’un uç nokta güvenlik çözümünü kaldırdı, yönetici şifresini değiştirdi, Plink aracılığıyla bir RDP tüneli kurdu ve bunu yanal hareket için kullandı, WizTree ile disk alanını analiz etti ve veri sızdırmak için rclone’u (svchost.exe olarak yeniden adlandırıldı) kullandı. Sonunda etkilenen sistemlerin bazılarına Cactus fidye yazılımını dağıtmayı başardılar.
Araştırmacılar, “Tüm izinsiz girişlerde gözlemlenen önemli örtüşmelere dayanarak, açıklanan tüm saldırıları aynı tehdit aktörüne atfediyoruz” sonucuna vardı.
Beaumont, Qlik Sense’i kullanan başka bir fidye yazılımı grubu gördüğünü söylüyor. “Şu anda saldırı sayısı çok düşük, dolayısıyla yama yapmak isteyebilirsiniz” diye ekledi.
Yamalar mevcut
Qlik, düzeltme eklerini Ağustos ve Eylül aylarında yayınladı ve müşterilerin Qlik Sense Enterprise for Windows’u aşağıdaki sürümlere yükseltmeleri isteniyor:
- Ağustos 2023 Yama 2
- Mayıs 2023 Yama 6
- Şubat 2023 Yaması 10
- Kasım 2022 Yaması 12
- Ağustos 2022 Yaması 14
- Mayıs 2022 Yama 16
- Şubat 2022 Yaması 15
- Kasım 2021 Yaması 17