Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Yol Geçiş Hatası, SysAid Şirket İçi Yazılımında Kod Yürütülmesine Yol Açıyor
Sayın Mihir (MihirBagwe) •
9 Kasım 2023
Dosya aktarım uygulamalarına yönelik bir dizi saldırının ardındaki Rus dijital şantaj çetesi, şimdi SysAid BT yardım masası destek yazılımındaki yeni yamalı bir güvenlik açığını hedef alıyor.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Çarşamba günü geç saatlerde bir tweet’te Microsoft söz konusu Rusça konuşan çete, FlawedGrace olarak da bilinen uzaktan erişim Truva Atı olan GraceWire kötü amaçlı yazılımını yüklüyor. Microsoft, “Bunu genellikle yanal hareket, veri hırsızlığı ve fidye yazılımı dağıtımı dahil olmak üzere insan tarafından gerçekleştirilen faaliyetler takip ediyor” diye ekledi.
Microsoft, tehdit aktörünü Lace Tempest olarak izliyor, ancak özellikle çetenin sıfır gün güvenlik açığını kullanarak başlattığı MOVEit dosya aktarım yazılımına Mayıs ayı sonlarında yapılan toplu saldırının ardından, Clop olarak daha tanıdık geliyor (bkz: Veri İhlali Ücreti Clop Grubunun MOVEit Saldırı Artışına Bağlı).
SysAid, 2 Kasım’da CVE-2023-47246 olarak takip edilen potansiyel bir güvenlik açığını öğrendiğini ve araştırmak için güvenlik firması Profero ile sözleşme yaptığını söyledi. Güvenlik firması Elastic söz konusu 30 Ekim’den itibaren bu güvenlik açığından yararlanıldığını gözlemlemişti.
SysAid sözcüsü e-postayla yaptığı açıklamada, şirketin “şirket içi müşterilerimizle konu hakkında derhal iletişim kurmaya başladığını ve geçici çözüm çözümünün mümkün olan en kısa sürede uygulanmasını sağladığını söyledi. Sorunu gidermek için güvenlik geliştirmeleri içeren bir ürün yükseltmesi başlattık” dedi. güvenlik riski.” Firma, web sitesinde Adobe, Coca-Cola ve Fuji Xerox gibi küresel ağır toplar da dahil olmak üzere 5.000’den fazla kuruluşu müşteri olarak listeledi.
Şirket, analizlerin bilgisayar korsanlarının “kod yürütmeye yol açan daha önce bilinmeyen bir yol geçiş güvenlik açığını” kullandığını gösterdi. Bilgisayar korsanları, web uygulamalarını yönetmek için kullanılan Apache açık kaynaklı bir program olan Tomcat’in şirketin dağıtımının web köküne bir web kabuğu ve diğer yükleri içeren bir arşiv dosyası yükledi.
Güvenlik firması Rapid7, nesnelerin interneti arama motoru Shodan’a yapılan bir sorguda, halka açık internete açık olan SysAid’in yalnızca 416 örneğinin gösterildiğini söyledi.
SysAid’in saldırılara ilişkin analizi ayrıca saldırganların eylemlerinin kanıtlarını silmek için ikinci bir PowerShell betiği kullandıklarını ve kurban ana bilgisayarlara muhtemelen kalıcılık sağlamak için bir CobaltStrike dinleyicisi indirdiklerini söyledi.