Trusselaktører har udnyttet en nul-dages sårbarhed i SysAid, en førende IT Service Management (ITSM) løsning, at kompromittere virksomhedens servere for datatyveri og implementere de berygtede clop ransomware. Dette brud, identificeret som CVE-2023-47246, fremhæver den stigende sofistikering af cybertrusler og det haster for organisationer at sikre deres it-infrastruktur.
Hvad er SysAid?
SysAid er en omfattende ITSM-løsning, der tilbyder en suite af værktøjer til styring af forskellige it-tjenester i en organisation. Desværre, platformen blev offer for en stigennemløbssårbarhed, tillader trusselsaktører at udføre uautoriseret kode og kompromittere lokale SysAid-servere.
CVE-2023-47246: Angrebsdetaljer og teknikker
Sårbarheden, opdaget i november 2, blev straks identificeret som CVE-2023-47246. Microsoft Threat Intelligence-teamet, sporer trusselsskuespilleren som Lace Tempest (a.k.a. Fin11 og TA505), afslørede, at angriberne implementerede Clop ransomware efter at have udnyttet nul-dages fejlen.
SysAid offentliggjorde en detaljeret rapport, der skitserer angrebet, forklarer, at trusselsaktøren udnyttede sårbarheden for at uploade en webapplikationsressource (KRIG) arkiv, der indeholder en webshell til SysAid Tomcat-webtjenesten. Dette gjorde det muligt at udføre yderligere PowerShell-scripts og indsprøjtning af GraceWire-malware i legitime processer.
Angrebet omfattede også foranstaltninger til at slette spor, såsom sletning af aktivitetslogfiler ved hjælp af PowerShell-scripts. Lace Tempest gik videre ved at implementere scripts, der hentede en Cobalt Strike-lytter på kompromitterede værter.
Sikkerhedsopdatering og anbefalinger
SysAid reagerede hurtigt på bruddet, udvikler en patch til CVE-2023-47246. Patchen er inkluderet i den seneste softwareopdatering, og alle SysAid-brugere opfordres kraftigt til at opgradere til version 23.3.36 eller senere.
For at mindske risici og opdage potentielle kompromiser, systemadministratorer rådes til at følge en række trin beskrevet af SysAid. Disse omfatter kontrol for usædvanlige filer i SysAid Tomcat webroot, inspicerer for uautoriserede WebShell-filer, gennemgang af logfiler for uventede processer, og anvendelse af angivne indikatorer for kompromis (IOC'er).
Konklusion
SysAid zero-day sårbarhed udnyttet af Clop ransomware tjener som en skarp påmindelse om det stadigt udviklende cybertrussellandskab.
Organisationer skal prioritere cybersikkerhed, omgående påføring af plastre, og følger bedste praksis for at beskytte deres it-infrastruktur mod ubarmhjertige og sofistikerede trusselsaktører. I takt med at det digitale landskab fortsætter med at udvikle sig, proaktive foranstaltninger er afgørende for at være et skridt foran dem, der søger at udnytte sårbarheder til ondsindede formål.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: