Los actores de amenazas han explotado una vulnerabilidad de día cero en SysAid, una gestión de servicios TI líder (ITSM) solución, comprometer servidores corporativos para el robo de datos e implementar el notorio ransomware clop. Esta violación, identificado como CVE-2023-47246, destaca la creciente sofisticación de las amenazas cibernéticas y la urgencia de que las organizaciones protejan su infraestructura de TI.
¿Qué es SysAid??
SysAid es una solución ITSM integral que ofrece un conjunto de herramientas para gestionar diversos servicios de TI dentro de una organización.. Desafortunadamente, la plataforma fue víctima de una vulnerabilidad de recorrido de ruta, permitir que los actores de amenazas ejecuten código no autorizado y comprometan los servidores SysAid locales.
CVE-2023-47246: Detalles y técnicas de ataque
La vulnerabilidad, descubierto en noviembre 2, fue identificado rápidamente como CVE-2023-47246. El equipo de inteligencia de amenazas de Microsoft, rastreando al actor de amenazas como Lace Tempest (a.k.a. Fin11 y TA505), reveló que los atacantes implementaron el ransomware Clop después de explotar la falla de día cero.
SysAid publicó un informe detallado que describe el ataque., explicando que el actor de la amenaza utilizó la vulnerabilidad para cargar un recurso de aplicación web (GUERRA) archivo que contiene un webshell en el servicio web SysAid Tomcat. Esto permitió la ejecución de scripts de PowerShell adicionales y la inyección del malware GraceWire en procesos legítimos..
El ataque también incluyó medidas para borrar huellas., como eliminar registros de actividad mediante scripts de PowerShell. Lace Tempest fue más allá al implementar scripts que buscaban un oyente de Cobalt Strike en hosts comprometidos..
Actualización de seguridad y recomendaciones
SysAid respondió rápidamente a la infracción, desarrollando un parche para CVE-2023-47246. El parche está incluido en la última actualización de software., y se recomienda encarecidamente a todos los usuarios de SysAid que actualicen a la versión 23.3.36 o después.
Mitigar riesgos y detectar posibles compromisos, Se recomienda a los administradores del sistema que sigan una serie de pasos descritos por SysAid. Estos incluyen la búsqueda de archivos inusuales en la raíz web de SysAid Tomcat., inspeccionar archivos WebShell no autorizados, revisión de registros para procesos inesperados, y aplicar los indicadores de compromiso proporcionados (COI).
Conclusión
El SysAid vulnerabilidad de día cero explotado por el ransomware Clop sirve como un claro recordatorio del panorama de amenazas cibernéticas en constante evolución.
Las organizaciones deben priorizar la ciberseguridad, aplicar parches rápidamente, y seguir las mejores prácticas para salvaguardar su infraestructura de TI contra actores de amenazas implacables y sofisticados.. A medida que el panorama digital continúa evolucionando, Las medidas proactivas son esenciales para estar un paso por delante de quienes buscan explotar vulnerabilidades con fines maliciosos..