Trusselaktører har udnyttet en nul-dages sårbarhed i SysAid, en førende IT Service Management (ITSM) løsning, at kompromittere virksomhedens servere for datatyveri og implementere de berygtede clop ransomware. Dette brud, identificeret som CVE-2023-47246, fremhæver den stigende sofistikering af cybertrusler og det haster for organisationer at sikre deres it-infrastruktur.
Hvad er SysAid?
SysAid er en omfattende ITSM-løsning, der tilbyder en suite af værktøjer til styring af forskellige it-tjenester i en organisation. Desværre, platformen blev offer for en stigennemløbssårbarhed, tillader trusselsaktører at udføre uautoriseret kode og kompromittere lokale SysAid-servere.
CVE-2023-47246: Angrebsdetaljer og teknikker
Sårbarheden, opdaget i november 2, blev straks identificeret som CVE-2023-47246. Microsoft Threat Intelligence-teamet, sporer trusselsskuespilleren som Lace Tempest (a.k.a. Fin11 og TA505), afslørede, at angriberne implementerede Clop ransomware efter at have udnyttet nul-dages fejlen.
SysAid offentliggjorde en detaljeret rapport, der skitserer angrebet, forklarer, at trusselsaktøren udnyttede sårbarheden for at uploade en webapplikationsressource (KRIG) arkiv, der indeholder en webshell til SysAid Tomcat-webtjenesten. Dette gjorde det muligt at udføre yderligere PowerShell-scripts og indsprøjtning af GraceWire-malware i legitime processer.
Angrebet omfattede også foranstaltninger til at slette spor, såsom sletning af aktivitetslogfiler ved hjælp af PowerShell-scripts. Lace Tempest gik videre ved at implementere scripts, der hentede en Cobalt Strike-lytter på kompromitterede værter.
Sikkerhedsopdatering og anbefalinger
SysAid reagerede hurtigt på bruddet, udvikler en patch til CVE-2023-47246. Patchen er inkluderet i den seneste softwareopdatering, og alle SysAid-brugere opfordres kraftigt til at opgradere til version 23.3.36 eller senere.
For at mindske risici og opdage potentielle kompromiser, systemadministratorer rådes til at følge en række trin beskrevet af SysAid. Disse omfatter kontrol for usædvanlige filer i SysAid Tomcat webroot, inspicerer for uautoriserede WebShell-filer, gennemgang af logfiler for uventede processer, og anvendelse af angivne indikatorer for kompromis (IOC'er).
Konklusion
SysAid zero-day sårbarhed udnyttet af Clop ransomware tjener som en skarp påmindelse om det stadigt udviklende cybertrussellandskab.
Organisationer skal prioritere cybersikkerhed, omgående påføring af plastre, og følger bedste praksis for at beskytte deres it-infrastruktur mod ubarmhjertige og sofistikerede trusselsaktører. I takt med at det digitale landskab fortsætter med at udvikle sig, proaktive foranstaltninger er afgørende for at være et skridt foran dem, der søger at udnytte sårbarheder til ondsindede formål.