CVE-2023-47246 Erkennung: Lace Tempest Hacker nutzen aktiv eine Zero-Day-Schwachstelle in der SysAid IT-Software aus
Inhaltsverzeichnis:
Diesen November tauchen im Cyberbereich eine Reihe neuer Zero-Days in beliebten Softwareprodukten auf, wie CVE-2023-22518 die alle Versionen von Confluence Data Center und Server betreffen. Kurz nach deren Bekanntgabe tritt eine weitere Zero-Day-Schwachstelle in SysAid-IT-Software, verfolgt unter CVE-2023-47246, in der Szene auf. Microsoft enthüllte Spuren der Ausnutzung der Schwachstelle durch die Lace Tempest Gruppe, die zuvor für die Verbreitung von Clop Ransomware, bekannt war, bei Angriffen in freier Wildbahn.
Erkennung von CVE-2023-47246 Ausnutzungsversuchen
Da Clop Ransomware-Betreiber aktiv eine neue Zero-Day-Schwachstelle in SysAid-IT ausnutzen, streben fortschrittliche Organisationen danach, ihre Infrastruktur proaktiv zu verteidigen. Die SOC Prime Plattform bietet Verteidigern eine neue kuratierte Sigma-Regel, um CVE-2023-47246 Ausnutzungsversuche zu erkennen, verfügbar über den folgenden Link:
WAR-Archivdatei im SysAid Tomcat-Ordner erstellt [CVE-2023-47246] (via file_event)
Der Erkennungsalgorithmus identifiziert ein WAR-Archiv, das im SysAid Tomcat-Verzeichnis erstellt wurde, was ein Indikator für die Ausnutzung der Schwachstelle CVE-2023-47246 sein könnte. Diese Sigma-Regel befasst sich mit der MITRE ATT&CK Initital Access Taktik sowie der Haupttechnik Exploit Public-Facing Application (T1190). Der Erkennungscode kann auch sofort in Dutzende von SIEM-, EDR-, XDR- und Data Lake-Sprachenformate umgewandelt werden.
Darüber hinaus können Verteidiger auf den Explore Detections Button unten klicken, um auf weitere Inhalte zur Erkennung von CVE-2023-47246 Ausnutzungsversuchen zuzugreifen. Greifen Sie sofort auf relevante Sigma-Regeln zu, nutzen Sie verwertbare Metadaten und lassen Sie Angreifern keine Chance, zuerst zuzuschlagen.
Analyse von CVE-2023-47246
Die Lace Tempest Gruppe, bekannt für die Verbreitung von Clop Ransomware wird derzeit dabei beobachtet, einen neuen kritischen Sicherheitsfehler in SysAid IT Support- und Managementsoftware auszunutzen. Microsoft hat kürzlich CVE-2023-47246 aufgedeckt, eine neuartige Zero-Day-Schwachstelle, die in einer Reihe von Angriffen genutzt wird, die den Lace Tempest Hackern zugeschrieben werden. Nach der Entdeckung des Problems berichtete Microsoft SysAid umgehend über die Schwachstelle, was zu ihrer schnellen Behebung führte.
CVE-2023-47246 ist eine Pfadüberlauf-Schwachstelle, die von Angreifern ausgenutzt werden kann, indem eine Datei in das Tomcat-Webroot geschrieben wird, was potenziell zur Codeausführung in On-Premises SysAid-Instanzen führen kann. Nach dem ersten Zugang und der Bereitstellung der user.exe-Malware setzen Bedrohungsakteure ein PowerShell-Skript ein, um alle Spuren ihrer Aktivität von der Festplatte und den Protokollen des On-Premises SysAid-Servers zu löschen. Während der Untersuchung wurde auch entdeckt, dass Lace Tempest den GraceWire Loader angewendet hat, um die Infektion weiter zu verbreiten. Darüber hinaus sind die Angriffsketten dadurch gekennzeichnet, dass sowohl das MeshCentral-Agent-Remote-Admin-Tool als auch PowerShell verwendet werden, um Cobalt Strike auf den Opfersystemen herunterzuladen und auszuführen.
SysAid hat das Problem in der Softwareversion v23.3.36 behoben, jedoch sind Instanzen vor dieser Version exponierten Ausbeutungsrisiken ausgesetzt.
Das Lace Tempest Hacker-Kollektiv, auch bekannt als DEV-0950, wurde auch mit Angriffen in Verbindung gebracht, die kritische Sicherheitslücken ausnutzen, einschließlich CVE-2023-34362, einem Zero-Day in MOVEit Transfer, und CVE-2023-27350, einer RCE-Schwachstelle in PaperCut-Servern. Die Lace Tempest Gruppe überschneidet sich mit anderen Hacker-Gruppierungen, die unter FIN11 und TA505verfolgt werden, wie Microsoft berichtet in verwandten Tweets.
SysAid empfiehlt ein Maßnahmenpaket zur Minderung der CVE-2023-47246 zu ergreifen, in erster Linie die Aktualisierung der On-Premises-Instanzen auf die neueste Version 23.3.36, die Durchführung einer gründlichen Kompromissbewertung des potenziell betroffenen Servers basierend auf relevanten IOCs und die kontinuierliche Überwachung der Protokolle auf Anzeichen von verdächtigem Verhalten.
Mit der zunehmenden Zahl von Angriffen, die zu Ransomware-Bereitstellungen führen, suchen Organisationen nach Möglichkeiten, ihre Abwehr kontinuierlich an neue Bedrohungen anzupassen und Risiken zu minimieren. Verlassen Sie sich auf den Threat Detection Marketplace von SOC Prime, um den Finger am Puls der sich ständig wandelnden Bedrohungslandschaft zu haben und von 900+ kuratierten SOC-Inhalten zur Ransomware-Erkennung zu profitieren, angereichert mit CTI und auf Ihr Bedrohungsprofil zugeschnitten.
