Detección de CVE-2023-47246: Hackers de Lace Tempest Explotan Activamente una Vulnerabilidad Zero-Day en el Software SysAid IT
Tabla de contenidos:
Este noviembre, un conjunto de nuevos zero-days en productos de software populares están emergiendo en el dominio cibernético, como CVE-2023-22518 afectando a todas las versiones de Confluence Data Center y Server. Poco después de su divulgación, otro fallo zero-day en el software SysAid IT, rastreado bajo CVE-2023-47246, aparece en escena. Microsoft reveló trazas de explotación de vulnerabilidades, con el grupo Lace Tempest, anteriormente conocido por la entrega de ransomware Clop, detrás de ataques en estado salvaje.
Detectar Intentos de Explotación de CVE-2023-47246
Con los operadores de ransomware Clop explotando activamente una nueva vulnerabilidad zero-day de SysAid IT, organizaciones progresivas están esforzándose por defender proactivamente su infraestructura. La Plataforma SOC Prime proporciona a los defensores una nueva regla Sigma curada para detectar intentos de explotación de CVE-2023-47246 disponible a través de un enlace a continuación:
El algoritmo de detección identifica un archivo WAR creado en el directorio de SysAid Tomcat, lo que puede ser un indicador de la explotación de la vulnerabilidad CVE-2023-47246. Esta regla Sigma aborda la táctica de Acceso Inicial de MITRE ATT&CK junto con la técnica de Explotar Aplicación Expuesta al Público (T1190). El código de detección también puede convertirse instantáneamente en docenas de formatos de lenguaje SIEM, EDR, XDR y Data Lake.
Además, los defensores pueden hacer clic en el Explorar Detecciones botón a continuación para acceder a más contenido relacionado con la detección de intentos de explotación de CVE-2023-47246. Acceda instantáneamente a reglas Sigma relevantes, aproveche los metadatos útiles y no deje ninguna oportunidad para que los atacantes ataquen primero.
Análisis de CVE-2023-47246
El grupo Lace Tempest conocido por propagar ransomware Clop se observa actualmente explotando un nuevo error de seguridad crÃtico en el software de soporte y gestión de IT de SysAid. Microsoft recientemente descubrió CVE-2023-47246, una nueva vulnerabilidad zero-day utilizada en una serie de ataques atribuidos a los hackers de Lace Tempest. Después del descubrimiento del problema, Microsoft informó instantáneamente a SysAid sobre el fallo, lo que resultó en su rápida corrección.
CVE-2023-47246 es un fallo de recorrido de ruta que puede ser utilizado por atacantes escribiendo un archivo en el webroot de Tomcat, lo que potencialmente conduce a la ejecución de código en instancias de SysAid on-premises. Después del acceso inicial y el despliegue del malware user.exe, los actores de amenaza aplican un script de PowerShell para eliminar cualquier rastro de su actividad del disco y los registros del servidor SysAid on-prem. Durante la investigación, también se descubrió que Lace Tempest aplicó el cargador GraceWire para expandir aún más la infección. Además, las cadenas de ataque se caracterizan por aprovechar tanto la herramienta de administración remota MeshCentral Agent como PowerShell para descargar y ejecutar Cobalt Strike en los dispositivos de la vÃctima.
SysAid ha solucionado el problema en el software v23.3.36, sin embargo, las instancias anteriores a esta versión están expuestas a riesgos de explotación.
El colectivo de hackers Lace Tempest, también conocido como DEV-0950, ha sido vinculado a ataques que utilizan fallos de seguridad crÃticos, incluyendo CVE-2023-34362, un zero-day en MOVEit Transfer, y CVE-2023-27350, un fallo RCE en servidores PaperCut. El grupo Lace Tempest se superpone con otros colectivos de hackers rastreados como FIN11 y TA505, según informes de Microsoft en tweets relacionados.
SysAid recomienda tomar un conjunto de medidas de mitigación de CVE-2023-47246, principalmente, actualizar las instancias on-premises a la última versión 23.3.36, realizar una evaluación exhaustiva del compromiso del servidor potencialmente impactado basada en IOC relevantes y monitorear continuamente los registros en busca de cualquier signo de comportamiento sospechoso.
Con el creciente número de ataques que conducen al despliegue de ransomware, las organizaciones buscan formas de adaptar continuamente sus defensas a amenazas emergentes y minimizar los riesgos. ConfÃe en el Mercado de Detección de Amenazas de SOC Prime para mantenerse al tanto del siempre cambiante panorama de amenazas y beneficiarse de más de 900 contenidos SOC curados para la detección de ransomware enriquecidos con CTI y adaptados a su perfil de amenaza.
