脅威アクターが SysAid のゼロデイ脆弱性を悪用, 業界をリードするITサービスマネジメント (ITSM) 解決, 企業サーバーに侵入してデータを盗み、悪名高いウイルスを導入する Clop ランサムウェア. この違反, CVE-2023-47246 として識別される, サイバー脅威がますます巧妙化していることと、組織が IT インフラストラクチャを保護することが緊急であることを浮き彫りにしています。.
シスエイドとは?
SysAid は、組織内のさまざまな IT サービスを管理するための一連のツールを提供する包括的な ITSM ソリューションです。. 不運にも, プラットフォームがパストラバーサルの脆弱性の犠牲になりました, 攻撃者が不正なコードを実行し、オンプレミスの SysAid サーバーを侵害することを可能にする.
CVE-2023-47246: 攻撃内容と手口
脆弱性, 11月に発見された 2, すぐに CVE-2023-47246 として特定されました. Microsoft 脅威インテリジェンス チーム, 脅威アクターをレース・テンペストとして追跡 (別名. Fin11 および TA505), 攻撃者がゼロデイ欠陥を悪用した後、Clop ランサムウェアを展開したことが明らかになりました.
SysAid は攻撃の概要を示す詳細なレポートを公開しました, それを説明する 攻撃者は脆弱性を利用しました Web アプリケーション リソースをアップロードするには (戦争) SysAid Tomcat Web サービスへの Web シェルを含むアーカイブ. これにより、追加の PowerShell スクリプトの実行や、正規のプロセスへの GraceWire マルウェアの注入が可能になりました。.
この攻撃には足跡を消去する措置も含まれていた, PowerShell スクリプトを使用したアクティビティ ログの削除など. Race Tempest は、侵害されたホスト上で Cobalt Strike リスナーを取得するスクリプトを展開することでさらに前進しました。.
セキュリティアップデートと推奨事項
SysAid は侵害に迅速に対応した, CVE-2023-47246 のパッチを開発中. パッチは最新のソフトウェア アップデートに含まれています, すべての SysAid ユーザーはバージョンにアップグレードすることを強くお勧めします。 23.3.36 以上.
リスクを軽減し、潜在的な侵害を検出するため, システム管理者は、SysAid が概説する一連の手順に従うことをお勧めします。. これらには、SysAid Tomcat Webroot 内の異常なファイルのチェックが含まれます。, 不正な WebShell ファイルの検査, 予期しないプロセスのログを確認する, 提供された侵害の指標を適用する (IOC).
結論
シスエイド ゼロデイ脆弱性 Clop ランサムウェアによる悪用は、進化し続けるサイバー脅威の状況をはっきりと思い出させるものとなっています.
組織はサイバーセキュリティを優先する必要がある, パッチをすぐに適用する, 執拗で洗練された攻撃者から IT インフラストラクチャを保護するためのベスト プラクティスに従っています。. デジタル環境が進化し続ける中, 悪意のある目的で脆弱性を悪用しようとする人々の一歩先を行くためには、事前の対策が不可欠です.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: