Os atores da ameaça exploraram uma vulnerabilidade de dia zero no SysAid, líder em gerenciamento de serviços de TI (ITSM) solução, comprometer servidores corporativos para roubo de dados e implantar o notório clop ransomware. Esta violação, identificado como CVE-2023-47246, destaca a crescente sofisticação das ameaças cibernéticas e a urgência de as organizações protegerem a sua infraestrutura de TI.
O que é SysAid?
SysAid é uma solução abrangente de ITSM que oferece um conjunto de ferramentas para gerenciar vários serviços de TI dentro de uma organização. Infelizmente, a plataforma foi vítima de uma vulnerabilidade de passagem de caminho, permitindo que agentes de ameaças executem códigos não autorizados e comprometam servidores SysAid locais.
CVE-2023-47246: Detalhes e técnicas de ataque
a vulnerabilidade, descoberto em novembro 2, foi prontamente identificado como CVE-2023-47246. A equipe de Inteligência de Ameaças da Microsoft, rastreando o ator da ameaça como Lace Tempest (a.k.a. Fin11 e TA505), revelou que os invasores implantaram o ransomware Clop após explorar a falha de dia zero.
SysAid publicou um relatório detalhado descrevendo o ataque, explicando isso o ator da ameaça utilizou a vulnerabilidade para fazer upload de um recurso de aplicativo da Web (GUERRA) arquivo contendo um webshell no serviço web SysAid Tomcat. Isso permitiu a execução de scripts adicionais do PowerShell e a injeção do malware GraceWire em processos legítimos.
O ataque também incluiu medidas para apagar rastros, como excluir logs de atividades usando scripts do PowerShell. Lace Tempest foi além ao implantar scripts buscando um ouvinte Cobalt Strike em hosts comprometidos.
Atualização e recomendações de segurança
SysAid respondeu rapidamente à violação, desenvolvendo um patch para CVE-2023-47246. O patch está incluído na atualização de software mais recente, e todos os usuários do SysAid são fortemente encorajados a atualizar para a versão 23.3.36 ou mais tarde.
Para mitigar riscos e detectar possíveis comprometimentos, os administradores de sistema são aconselhados a seguir uma série de etapas descritas pelo SysAid. Isso inclui a verificação de arquivos incomuns no webroot do SysAid Tomcat, inspecionando arquivos WebShell não autorizados, revisando logs para processos inesperados, e aplicando indicadores de compromisso fornecidos (COIs).
Conclusão
O SysAid vulnerabilidade zero-day explorado pelo ransomware Clop serve como um lembrete do cenário de ameaças cibernéticas em constante evolução.
As organizações devem priorizar a segurança cibernética, aplicando patches imediatamente, e seguindo as melhores práticas para proteger sua infraestrutura de TI contra agentes de ameaças implacáveis e sofisticados. À medida que o cenário digital continua a evoluir, medidas proativas são essenciais para ficar um passo à frente daqueles que procuram explorar vulnerabilidades para fins maliciosos.