Cactus Ransomware afecta servidores Qlik Sense

Una asociación entre entidades públicas y privadas en los Países Bajos ha identificado detalles críticos sobre un grupo de ransomware peligroso conocido como Cactus, que ha estado focalizando sus ataques en servidores de Qlik Sense, una herramienta de inteligencia empresarial muy utilizada.

A través de la colaboración entre expertos en seguridad de Fox-IT de NCC Group, dentro de la asociación Melissa, se ha revelado un patrón en los métodos empleados por Cactus para explotar vulnerabilidades específicas en los servidores Qlik Sense Enterprise para Windows.

• CVE-2023-48365 (CVSS 9.9): Esta vulnerabilidad permite la ejecución remota de código sin autenticación. Debido a la validación incorrecta de las cabeceras HTTP, un atacante remoto puede elevar sus privilegios al tunelizar solicitudes HTTP, lo que les permite ejecutar solicitudes HTTP en el servidor backend que aloja la aplicación del repositorio.

• CVE-2023-41265 (CVSS 9.9): Esta vulnerabilidad de tunelización de solicitudes HTTP permite a un atacante remoto elevar sus privilegios al tunelizar solicitudes HTTP en la solicitud HTTP en bruto. Esto les permite enviar solicitudes que son ejecutadas por el servidor backend que aloja la aplicación del repositorio.

• CVE-2023-41266 (CVSS 6.5): Esta vulnerabilidad de Path Traversal permite a un atacante remoto no autenticado generar una sesión anónima. Esto les permite transmitir solicitudes HTTP a endpoints no autorizados.

Versiones afectadas:

Todas las versiones hasta:

• August 2023 Patch 1
• May 2023 Patch 5
• February 2023 Patch 9
• November 2022 Patch 11
• August 2022 Patch 13
• May 2022 Patch 15
• February 2022 Patch 14
• November 2021 Patch 16

Solución:

Qlik recomienda actualizar al menos a una versión en la que se solucione el problema:

• August 2023 Patch 2
• May 2023 Patch 6
• February 2023 Patch 10
• November 2022 Patch 12
• August 2022 Patch 14
• May 2022 Patch 16
• February 2022 Patch 15
• November 2021 Patch 17

Para solucionar las vulnerabilidades se deben aplicar los últimos parches de seguridad disponibles de Qlik Sense Enterprise para Windows si la versión es compatible. Si la instalación de Qlik ya no es compatible, considerar la actualización o reemplazo lo antes posible.

Recomendaciones:

• Aplicar los últimos parches de seguridad disponibles para solventar las vulnerabilidades mencionadas.
• Restringir el acceso directo al servidor de Qlik Sense y utilizar soluciones de acceso remoto seguras.

Referencias:

• https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/tac-p/2120510

• https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/ta-p/2110801

• https://securityonline.info/cactus-ransomware-targets-qlik-sense-servers/?expand_article=1

• https://csirt.divd.nl/csirt-divd-nl/cases/DIVD-2024-00014/