Bedrohungsakteure haben eine Zero-Day-Schwachstelle in SysAid ausgenutzt, ein führendes IT Service Management (ITSM) Lösung, Unternehmensserver wegen Datendiebstahls zu kompromittieren und die berüchtigten Methoden einzusetzen Clop Ransomware. Dieser Verstoß, identifiziert als CVE-2023-47246, unterstreicht die zunehmende Komplexität von Cyber-Bedrohungen und die Dringlichkeit für Unternehmen, ihre IT-Infrastruktur zu sichern.
Was ist SysAid??
SysAid ist eine umfassende ITSM-Lösung, die eine Reihe von Tools für die Verwaltung verschiedener IT-Dienste innerhalb einer Organisation bietet. Leider, Die Plattform wurde Opfer einer Path-Traversal-Schwachstelle, Dadurch können Bedrohungsakteure nicht autorisierten Code ausführen und lokale SysAid-Server kompromittieren.
CVE-2023-47246: Angriffsdetails und -techniken
Die Sicherheitslücke, im November entdeckt 2, wurde umgehend als CVE-2023-47246 identifiziert. Das Microsoft Threat Intelligence-Team, Verfolgung des Bedrohungsakteurs als Lace Tempest (a.k.a. Fin11 und TA505), enthüllte, dass die Angreifer die Clop-Ransomware eingesetzt hatten, nachdem sie die Zero-Day-Schwachstelle ausgenutzt hatten.
SysAid veröffentlichte einen detaillierten Bericht, in dem der Angriff beschrieben wird, zu erklären, dass Der Bedrohungsakteur nutzte die Schwachstelle aus um eine Webanwendungsressource hochzuladen (KRIEG) Archiv, das eine Webshell enthält, in den SysAid Tomcat-Webdienst. Dies ermöglichte die Ausführung zusätzlicher PowerShell-Skripte und das Einschleusen der GraceWire-Malware in legitime Prozesse.
Der Angriff umfasste auch Maßnahmen zur Spurenlöschung, wie zum Beispiel das Löschen von Aktivitätsprotokollen mithilfe von PowerShell-Skripten. Lace Tempest ging noch einen Schritt weiter und stellte Skripte bereit, die einen Cobalt Strike-Listener auf kompromittierten Hosts abruften.
Sicherheitsupdate und Empfehlungen
SysAid reagierte schnell auf den Verstoß, Entwicklung eines Patches für CVE-2023-47246. Der Patch ist im neuesten Software-Update enthalten, und allen SysAid-Benutzern wird dringend empfohlen, auf die Version zu aktualisieren 23.3.36 oder später.
Um Risiken zu mindern und potenzielle Kompromisse zu erkennen, Systemadministratoren wird empfohlen, eine Reihe von Schritten zu befolgen, die von SysAid beschrieben werden. Dazu gehört die Überprüfung auf ungewöhnliche Dateien im SysAid Tomcat-Webroot, Überprüfung auf nicht autorisierte WebShell-Dateien, Überprüfen von Protokollen auf unerwartete Prozesse, und Anwenden bereitgestellter Kompromissindikatoren (IOCs).
Abschluss
Das SysAid Zero-Day-Schwachstelle Die von Clop ausgenutzte Ransomware ist eine deutliche Erinnerung an die sich ständig weiterentwickelnde Cyber-Bedrohungslandschaft.
Organisationen müssen der Cybersicherheit Priorität einräumen, sofortiges Anbringen von Patches, und befolgen Sie Best Practices, um Ihre IT-Infrastruktur vor unerbittlichen und raffinierten Bedrohungsakteuren zu schützen. Da sich die digitale Landschaft ständig weiterentwickelt, Proaktive Maßnahmen sind unerlässlich, um denjenigen, die Schwachstellen für böswillige Zwecke ausnutzen wollen, immer einen Schritt voraus zu sein.