Les acteurs malveillants ont exploité une vulnérabilité Zero Day dans SysAid, un leader en gestion de services informatiques (ITSM) Solution, pour compromettre les serveurs d'entreprise pour le vol de données et déployer le fameux clop ransomware. Cette violation, identifié comme CVE-2023-47246, souligne la sophistication croissante des cybermenaces et l’urgence pour les organisations de sécuriser leur infrastructure informatique.
Qu'est-ce que SysAid?
SysAid est une solution ITSM complète offrant une suite d'outils pour gérer divers services informatiques au sein d'une organisation. Malheureusement, la plateforme a été victime d'une vulnérabilité de traversée de chemin, permettre aux acteurs malveillants d'exécuter du code non autorisé et de compromettre les serveurs SysAid sur site.
CVE-2023-47246: Détails et techniques d'attaque
La vulnérabilité, découvert en novembre 2, a été rapidement identifié comme CVE-2023-47246. L'équipe Microsoft Threat Intelligence, traquer l'acteur menaçant sous le nom de Lace Tempest (A.K.A. Fin11 et TA505), a révélé que les attaquants ont déployé le ransomware Clop après avoir exploité la faille zero-day.
SysAid a publié un rapport détaillé décrivant l'attaque, expliquant que l'acteur malveillant a utilisé la vulnérabilité pour télécharger une ressource d'application Web (GUERRE) archive contenant un webshell dans le service web SysAid Tomcat. Cela a permis l'exécution de scripts PowerShell supplémentaires et l'injection du malware GraceWire dans des processus légitimes..
L'attaque comprenait également des mesures visant à effacer les traces, comme la suppression des journaux d'activité à l'aide de scripts PowerShell. Lace Tempest est allé plus loin en déployant des scripts récupérant un écouteur Cobalt Strike sur des hôtes compromis.
Mise à jour de sécurité et recommandations
SysAid a réagi rapidement à la violation, développer un correctif pour CVE-2023-47246. Le correctif est inclus dans la dernière mise à jour logicielle, et tous les utilisateurs de SysAid sont fortement encouragés à passer à la version 23.3.36 ou plus tard.
Pour atténuer les risques et détecter les compromissions potentielles, il est conseillé aux administrateurs système de suivre une série d'étapes décrites par SysAid. Il s'agit notamment de la vérification des fichiers inhabituels dans la racine Web SysAid Tomcat., inspection des fichiers WebShell non autorisés, examen des journaux pour les processus inattendus, et appliquer les indicateurs de compromission fournis (CIO).
Conclusion
Le SysAid vulnérabilité du jour zéro exploité par le ransomware Clop nous rappelle brutalement le paysage des cybermenaces en constante évolution.
Les organisations doivent donner la priorité à la cybersécurité, appliquer rapidement les correctifs, et suivre les meilleures pratiques pour protéger leur infrastructure informatique contre les acteurs de menaces incessants et sophistiqués. Alors que le paysage numérique continue d’évoluer, des mesures proactives sont essentielles pour garder une longueur d'avance sur ceux qui cherchent à exploiter les vulnérabilités à des fins malveillantes.