Gli autori delle minacce hanno sfruttato una vulnerabilità zero-day in SysAid, un leader nella gestione dei servizi IT (ITSM) soluzione, compromettere i server aziendali per il furto di dati e implementare il famigerato Clop ransomware. Questa violazione, identificato come CVE-2023-47246, evidenzia la crescente sofisticazione delle minacce informatiche e l’urgenza per le organizzazioni di proteggere la propria infrastruttura IT.
Cos'è SysAid?
SysAid è una soluzione ITSM completa che offre una suite di strumenti per la gestione di vari servizi IT all'interno di un'organizzazione. Sfortunatamente, la piattaforma è rimasta vittima di una vulnerabilità di attraversamento del percorso, consentendo agli autori delle minacce di eseguire codice non autorizzato e compromettere i server SysAid on-premise.
CVE-2023-47246: Dettagli e tecniche di attacco
La vulnerabilità, scoperto a novembre 2, è stato prontamente identificato come CVE-2023-47246. Il team di Microsoft Threat Intelligence, rintracciare l'autore della minaccia come Lace Tempest (a.k.a. Fin11 e TA505), ha rivelato che gli aggressori hanno distribuito il ransomware Clop dopo aver sfruttato la falla zero-day.
SysAid ha pubblicato un rapporto dettagliato in cui descrive l'attacco, spiegando che l'autore della minaccia ha utilizzato la vulnerabilità per caricare una risorsa dell'applicazione Web (GUERRA) archivio contenente una webshell nel servizio web SysAid Tomcat. Ciò ha consentito l'esecuzione di ulteriori script PowerShell e l'inserimento del malware GraceWire in processi legittimi.
L'attacco prevedeva anche misure per cancellare le tracce, come l'eliminazione dei registri delle attività utilizzando gli script PowerShell. Lace Tempest è andato oltre distribuendo script che recuperavano un ascoltatore Cobalt Strike su host compromessi.
Aggiornamento e raccomandazioni sulla sicurezza
SysAid ha risposto rapidamente alla violazione, sviluppando una patch per CVE-2023-47246. La patch è inclusa nell'ultimo aggiornamento software, e tutti gli utenti SysAid sono fortemente invitati ad aggiornare alla versione 23.3.36 o più tardi.
Per mitigare i rischi e rilevare potenziali compromissioni, si consiglia agli amministratori di sistema di seguire una serie di passaggi indicati da SysAid. Questi includono il controllo di file insoliti nella webroot di SysAid Tomcat, verificando la presenza di file WebShell non autorizzati, revisione dei registri per processi imprevisti, e applicando gli indicatori di compromesso forniti (IOC).
Conclusione
Il SysAid vulnerabilità zero-day sfruttato dal ransomware Clop funge da forte promemoria del panorama delle minacce informatiche in continua evoluzione.
Le organizzazioni devono dare priorità alla sicurezza informatica, applicando tempestivamente le patch, e seguendo le migliori pratiche per salvaguardare la propria infrastruttura IT da attori di minacce implacabili e sofisticati. Mentre il panorama digitale continua ad evolversi, misure proattive sono essenziali per stare un passo avanti rispetto a coloro che cercano di sfruttare le vulnerabilità per scopi dannosi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: