SysAid BT destek ve yönetim yazılımı çözümündeki kritik bir sıfır gün güvenlik açığı (CVE-2023-47246), Cl0p fidye yazılımını dağıtmasıyla bilinen bir fidye yazılımı ortağı olan Lace Tempest tarafından istismar ediliyor.
Lace Tempest daha önce birçok kuruluştan ve kamu sektörü kuruluşundan veri çalmak için Progress Software’in MOVEit Transfer kurulumlarındaki sıfır gün güvenlik açığından (CVE-2023-34362) yararlanmıştı.
Grup aynı zamanda Accellion dosya aktarım cihazında ve Fortra’nın GoAnywhere dosya aktarım çözümünde de benzer şekilde sıfır günden yararlandı.
CVE-2023-47246’dan yararlanıldı
(Sınırlı) saldırılar ilk olarak Microsoft Tehdit İstihbaratı ekibi tarafından tespit edildi ve 2 Kasım 2023’te İsrailli yazılım üreticisi SysAid’e bu konuda bilgi verildi.
SysAid’in CTO’su Sasha Shapirov, “Olay müdahale protokolümüzü derhal başlattık ve tesis içi müşterilerimizle, belirlediğimiz bir hafifletme çözümünü uygulayabilmelerini sağlamak için proaktif bir şekilde iletişim kurmaya başladık” dedi.
“Soruşturmamızda bize yardımcı olması için bir siber güvenlik olaylarına müdahale şirketi olan Profero ile anlaştık. Soruşturma, SysAid şirket içi yazılımında sıfır gün güvenlik açığı bulunduğunu belirledi.”
Yararlanan sıfır gün (CVE-2023-47246), tehdit aktörlerinin etkilenen sistemlere yetkisiz erişim elde etmesine ve rastgele kod yürütmesine olanak tanıyan bir yol geçiş güvenlik açığıdır.
Shapirov’a göre saldırganlar, bir web kabuğu ve diğer yükleri içeren bir WAR arşivini SysAid Tomcat web hizmetinin webroot firectory’sine yüklemek için bu güvenlik açığından yararlandı.
“Web kabuğu, saldırgana etkilenen sistem üzerinde yetkisiz erişim ve kontrol sağladı. Daha sonra saldırgan, web kabuğu aracılığıyla dağıtılan bir PowerShell betiğini kullanarak, adlı kötü amaçlı yazılım yükleyicisini çalıştırdı. kullanıcı.exe güvenliği ihlal edilmiş ana bilgisayar üzerinde.
İkincisi, GraceWire truva atını çeşitli işlemlere enjekte etti (spoolsv.exe, msiexec.exe Ve svchost.exe)
Microsoft Tehdit İstihbaratı ekibi, “Bunu genellikle yanal hareket, veri hırsızlığı ve fidye yazılımı dağıtımı dahil olmak üzere insan tarafından gerçekleştirilen faaliyetler izliyor” dedi. kayıt edilmiş.
Son olarak saldırganlar, etkinliklerine ilişkin kanıtları diskten ve SysAid şirket içi sunucu web günlüklerinden silmek için ikinci bir PowerShell betiği kullandı.
Yama yapın ve araştırın
Şirket, SysAid şirket içi sunucusu kullanan müşterilere sistemlerini CVE-2023-47246’yı yayan sürüme (v23.3.36) güncellemelerini ve sağladıkları güvenlik ihlali kanıtlarını kontrol etmelerini tavsiye etti.
“SysAid Tomcat web hizmetinin web kök dizinindeki yetkisiz erişim girişimlerini veya şüpheli dosya yüklemelerini arayın. SysAid web kökü dizinindeki olağandışı dosyaları, özellikle de SysAid kurulum dosyalarından farklı olan dosya zaman damgaları içeren WAR dosyalarını, ZIP dosyalarını veya JSP dosyalarını arayın. SysAid bir proxy veya WAF’ın arkasındaysa, bu hizmetlerden gelen erişim günlüklerini sunucuya yapılan şüpheli POST istekleri açısından kötüye kullanım işaretleri açısından kontrol edin,” diye tavsiyede bulundu Shapirov.
Kurumsal savunucular ayrıca yetkisiz veya şüpheli web kabuklarına, anormal PowerShell komut dosyası yürütme etkinliklerine karşı dikkatli olmalı ve GraceWire yükleyiciyle enjekte edilen işlemlerde olağandışı ağ bağlantılarını, beklenmeyen işlem davranışlarını veya anormal CPU/bellek kullanımını kontrol etmelidir.
“SysAid sunucunuza tam erişimi olan birinin kullanabileceği tüm kimlik bilgilerini veya diğer bilgileri inceleyin ve ilgili etkinlik günlüklerini şüpheli davranış açısından kontrol edin” diye ekledi.