Επικίνδυνοι δράστες εκμεταλλεύονται μια ευπάθεια zero-day στο λογισμικό διαχείρισης υπηρεσιών SysAid, για να αποκτήσουν πρόσβαση σε εταιρικούς διακομιστές για κλοπή δεδομένων και εγκατάσταση του ransomware Clop.
Δείτε επίσης: Clop ransomware ομάδα: Κατηγορείται για επιθέσεις σε νοσοκομεία
Το SysAid είναι μια ολοκληρωμένη λύση Διαχείρισης Υπηρεσιών Πληροφορικής (ITSM) που παρέχει μια σουίτα εργαλείων για τη διαχείριση διάφορων υπηρεσιών πληροφορικής εντός μιας οργάνωσης. Το Clop ransomware είναι γνωστό για την εκμετάλλευση ευπαθειών zero-day σε ευρέως χρησιμοποιούμενο λογισμικό. Πρόσφατα παραδείγματα περιλαμβάνουν το MOVEit Transfer, το GoAnywhere MFT και το Accellion FTA.
Η ευπάθεια, που προς το παρόν αναγνωρίζεται ως CVE-2023-47246, ανακαλύφθηκε στις 2 Νοεμβρίου αφού χάκερ την εκμεταλλεύτηκαν για να διαπεράσουν τους εξυπηρετητές SysAid στον χώρο της επιχείρησης. Η ομάδα Ενημέρωσης για Απειλές της Microsoft ανακάλυψε το πρόβλημα ασφάλειας που εκμεταλλεύεται στον πραγματικό κόσμο και ειδοποίησε την SysAid.
Η Microsoft διαπίστωσε ότι η ευπάθεια χρησιμοποιήθηκε για να εκτελέσει το κακόβουλο λογισμικό Clop από έναν απειλητικό παράγοντα γνωστό ως Lace Tempest (επίσης γνωστός ως Fin11 και TA505).
Την Τετάρτη, η SysAid δημοσίευσε έκθεση αποκαλύπτοντας ότι το CVE-2023-47246 είναι μία ευπάθεια διάβασης διαδρομής που οδηγεί σε μη εξουσιοδοτημένη εκτέλεση κώδικα. Η εταιρεία μοιράζεται επίσης τεχνικές λεπτομέρειες της επίθεσης που αποκαλύφθηκαν μετά από έρευνα της εταιρείας για γρήγορη αντίδραση σε περιστατικά από την εταιρεία Profero.
Αφού ενημερώθηκε για την ευπάθεια, η SysAid εργάστηκε γρήγορα για τη δημιουργία ενός διορθωτικού πακέτου για το CVE-2023-47246, το οποίο είναι διαθέσιμο μέσω ενημέρωσης λογισμικού. Συνιστάται ανεπιφύλακτα σε όλους τους χρήστες της SysAid να μεταβούν στην έκδοση 23.3.36 ή νεότερη.
Δείτε ακόμα: Clop ransomware: Χρησιμοποιεί πλέον torrents για τη διαρροή δεδομένων
Επιπλέον, οι διαχειριστές συστημάτων θα πρέπει να ελέγχουν τους διακομιστές για ενδείξεις παραβίασης, ακολουθώντας τα παρακάτω βήματα.:
- Ελέγξτε τον κατάλογο webroot του SysAid Tomcat για ασυνήθιστα αρχεία, ιδίως αρχεία WAR, ZIP ή JSP με ανώμαλες χρονοσφραγίδες.
- Αναζητήστε μη εξουσιοδοτημένα αρχεία WebShell στην υπηρεσία SysAid Tomcat και ελέγξτε τα αρχεία JSP για κακόβουλο περιεχόμενο.
- Αξιολόγηση των αρχείων καταγραφής για απρόσμενες διεργασίες από το Wrapper.exe, οι οποίες μπορεί να υποδηλώνουν τη χρήση WebShell.
- Ελέγξτε τα αρχεία καταγραφής του PowerShell για τις εκτελέσεις σεναρίων που συμφωνούν με τα περιγραφείσθαι μοτίβα επιθέσεων.
- Παρακολουθήστε καίριες διαδικασίες όπως το spoolsv.exe, msiexec.exe, svchost.exe για ενδείξεις μη εξουσιοδοτημένης εισαγωγής κώδικα.
- Εφαρμόστε τα παρεχόμενα IOCs για να εντοπίσετε οποιοδήποτε ένδειξη εκμετάλλευσης της ευπάθειας.
- Αναζητήστε αποδείξεις για συγκεκριμένες εντολές επιτιθεμένων που υποδηλώνουν παραβίαση του συστήματος.
- Εκτελέστε ανιχνεύσεις ασφάλειας για γνωστά κακόβουλα στοιχεία που σχετίζονται με την ευπάθεια.
- Αναζητήστε συνδέσεις με τις καταχωρημένες διευθύνσεις IP της κατηγορίας C2.
- Ελέγξτε για ενδείξεις καθαρισμού από επιτιθέμενους, προκειμένου να κρύψουν την παρουσία τους.
Δείτε επίσης: Η Clop ransomware ομάδα θα κερδίσει $ 75-100 εκατ. μέσω των επιθέσεων MOVEit
Μια ευπάθεια zero-day είναι μια αδυναμία ασφαλείας σε ένα λογισμικό που είναι άγνωστη στον κατασκευαστή του και δεν έχει ανακοινωθεί δημόσια. Αυτό σημαίνει ότι οι κακόβουλοι χρήστες μπορούν να εκμεταλλευτούν αυτήν την ευπάθεια για να προκαλέσουν ζημιά ή να αποκτήσουν πρόσβαση σε συστήματα χωρίς να γνωρίζει ο κατασκευαστής του λογισμικού για την ύπαρξή της.
Οι ευπάθειες zero-day είναι εξαιρετικά επικίνδυνες, καθώς δεν υπάρχει γνωστή προστασία ή διόρθωση για αυτές. Οι επιτιθέμενοι μπορούν να τις εκμεταλλευτούν για να προκαλέσουν σοβαρές ζημιές σε συστήματα και δεδομένα.
Οι ευπάθειες zero-day μπορούν να ανακαλυφθούν από κακόβουλους χρήστες ή από ερευνητές ασφαλείας και μπορούν να χρησιμοποιηθούν για να εκτελέσουν επιθέσεις όπως η εγκατάσταση κακόβουλου λογισμικού, η κλοπή δεδομένων ή η απόκτηση απομακρυσμένης πρόσβασης σε συστήματα.
Πηγή: bleepingcomputer
