Huis > Cyber ​​Nieuws > CVE-2023-47246: SysAid-fout gebruikt bij Clop Ransomware-aanvallen
CYBER NEWS

CVE-2023-47246: SysAid-fout gebruikt bij Clop Ransomware-aanvallen

Bedreigingsactoren hebben misbruik gemaakt van een zero-day-kwetsbaarheid in SysAid, een toonaangevend IT-servicemanagement (ITSM) oplossing, om bedrijfsservers in gevaar te brengen voor gegevensdiefstal en de beruchte in te zetten Clop ransomware. Deze inbreuk, geïdentificeerd als CVE-2023-47246, benadrukt de toenemende verfijning van cyberdreigingen en de urgentie voor organisaties om hun IT-infrastructuur te beveiligen.

Wat is SysAid?
SysAid is een uitgebreide ITSM-oplossing die een reeks tools biedt voor het beheren van verschillende IT-diensten binnen een organisatie. Helaas, het platform werd het slachtoffer van een kwetsbaarheid bij het doorlopen van paden, waardoor bedreigingsactoren ongeautoriseerde code kunnen uitvoeren en on-premise SysAid-servers kunnen compromitteren.

CVE-2023-47246- SysAid-fout gebruikt bij Clop Ransomware-aanvallen

CVE-2023-47246: Aanvalsdetails en technieken

De kwetsbaarheid, november ontdekt 2, werd onmiddellijk geïdentificeerd als CVE-2023-47246. Het Microsoft Threat Intelligence-team, het volgen van de bedreigingsacteur als Lace Tempest (a.k.a. Fin11 en TA505), onthulde dat de aanvallers Clop-ransomware gebruikten nadat ze misbruik hadden gemaakt van de zero-day-fout.

SysAid publiceerde een gedetailleerd rapport waarin de aanval werd beschreven, uit te leggen dat de dreigingsactor heeft gebruik gemaakt van de kwetsbaarheid om een webapplicatiebron te uploaden (OORLOG) archief met een webshell in de SysAid Tomcat-webservice. Hierdoor konden aanvullende PowerShell-scripts worden uitgevoerd en de GraceWire-malware in legitieme processen worden geïnjecteerd.

De aanval omvatte ook maatregelen om sporen te wissen, zoals het verwijderen van activiteitenlogboeken met behulp van PowerShell-scripts. Lace Tempest ging verder door scripts in te zetten die een Cobalt Strike-listener ophaalden op gecompromitteerde hosts.




Beveiligingsupdate en aanbevelingen

SysAid reageerde snel op de inbreuk, het ontwikkelen van een patch voor CVE-2023-47246. De patch is opgenomen in de nieuwste software-update, en alle SysAid-gebruikers worden sterk aangeraden om naar de versie te upgraden 23.3.36 of later.

Om risico's te beperken en potentiële compromissen te detecteren, systeembeheerders wordt geadviseerd een reeks stappen te volgen die door SysAid zijn beschreven. Deze omvatten het controleren op ongebruikelijke bestanden in de SysAid Tomcat-webroot, inspecteren op ongeautoriseerde WebShell-bestanden, logbestanden bekijken op onverwachte processen, en het toepassen van de verstrekte compromisindicatoren (IOC's).

Conclusie
De SysAid zero-day kwetsbaarheid uitgebuit door Clop-ransomware dient als een grimmige herinnering aan het steeds evoluerende landschap van cyberdreigingen.

Organisaties moeten prioriteit geven aan cyberbeveiliging, onmiddellijk pleisters aanbrengen, en het volgen van best practices om hun IT-infrastructuur te beschermen tegen meedogenloze en geavanceerde dreigingsactoren. Terwijl het digitale landschap zich blijft ontwikkelen, proactieve maatregelen zijn essentieel om degenen die kwetsbaarheden voor kwaadaardige doeleinden willen misbruiken een stap voor te blijven.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens