Détection CVE-2023-47246 : Les hackers de Lace Tempest exploitent activement une vulnérabilité Zero-Day dans le logiciel SysAid IT
Table des matières :
Ce mois de novembre, un ensemble de nouvelles failles zero-day dans des produits logiciels populaires émergent dans le domaine cybernétique, comme CVE-2023-22518 affectant toutes les versions de Confluence Data Center et Server. Peu de temps après sa divulgation, une autre faille zero-day dans le logiciel IT SysAid, suivie sous CVE-2023-47246, apparaît. Microsoft a révélé des traces d’exploitation de vulnérabilités, avec le groupe Lace Tempest, anciennement connu pour la diffusion de ransomware Clop, derrière des attaques in-the-wild.
Détecter les Tentatives d’Exploitation de CVE-2023-47246
Avec les opérateurs du ransomware Clop exploitant activement une nouvelle vulnérabilité zero-day de SysAid IT, les organisations progressistes s’efforcent de défendre proactivement leur infrastructure. La plateforme SOC Prime fournit aux défenseurs une nouvelle règle Sigma sélectionnée pour détecter les tentatives d’exploitation de CVE-2023-47246 disponibles via un lien ci-dessous :
Fichier Archive War Créé Dans le Dossier Tomcat de SysAid [CVE-2023-47246] (via file_event)
L’algorithme de détection identifie une archive WAR créée dans le répertoire Tomcat de SysAid, ce qui peut être un indicateur d’exploitation de la vulnérabilité CVE-2023-47246. Cette règle Sigma aborde la tactique Initial Access de MITRE ATT&CK ainsi que la technique principale Exploit Public-Facing Application (T1190). Le code de détection peut également être instantanément converti en dizaines de formats de langage SIEM, EDR, XDR et Data Lake.
De plus, les défenseurs peuvent cliquer sur le Explorez les Détections bouton ci-dessous pour accéder à plus de contenu lié à la détection des tentatives d’exploitation de CVE-2023-47246. Accédez instantanément aux règles Sigma pertinentes, profitez des métadonnées exploitables et ne laissez aucune chance aux attaquants de frapper les premiers.
Analyse de CVE-2023-47246
Le groupe Lace Tempest connu pour propager ransomware Clop est actuellement observé exploitant un nouveau bug de sécurité critique dans le logiciel de support et de gestion IT SysAid. Microsoft a récemment découvert CVE-2023-47246, une nouvelle vulnérabilité zero-day utilisée dans une série d’attaques attribuées aux hackers Lace Tempest. Après la découverte du problème, Microsoft a instantanément signalé le défaut à SysAid, ce qui a conduit à sa correction rapide.
CVE-2023-47246 est une faille de traversée de chemin qui peut être exploitée par des attaquants via l’écriture d’un fichier dans le webroot de Tomcat, pouvant potentiellement conduire à l’exécution de code dans les instances SysAid sur site. Suite à l’accès initial et au déploiement du malware user.exe, les acteurs de la menace appliquent un script PowerShell pour effacer toute trace de leur activité du disque et des journaux du serveur SysAid sur site. Lors de l’enquête, il a également été découvert que Lace Tempest a appliqué le chargeur GraceWire pour propager l’infection plus loin. En outre, les chaînes d’attaques se caractérisent par l’utilisation simultanée de l’outil d’administration à distance MeshCentral Agent et de PowerShell pour télécharger et exécuter Cobalt Strike sur les appareils victimes.
SysAid a corrigé le problème dans la version logicielle v23.3.36, cependant, les instances antérieures à cette version sont exposées à des risques d’exploitation.
Le collectif de hackers Lace Tempest alias DEV-0950 a également été lié aux attaques utilisant des failles de sécurité critiques, y compris CVE-2023-34362, un zero-day dans MOVEit Transfer, et CVE-2023-27350, une faille RCE dans serveurs PaperCut. Le groupe Lace Tempest chevauche d’autres collectifs de hackers suivis sous les noms de FIN11 et TA505, comme le rapporte Microsoft dans des tweets connexes.
SysAid recommande de prendre un ensemble de mesures d’atténuation CVE-2023-47246, principalement, mettre à jour les instances sur site à la dernière version 23.3.36, effectuer une évaluation approfondie de la compromission du serveur potentiellement impacté sur la base des IOC pertinents, et surveiller continuellement les journaux pour tout signe de comportement suspect.
Avec le nombre croissant d’attaques conduisant au déploiement de ransomwares, les organisations cherchent des moyens d’adapter continuellement leurs défenses aux menaces émergentes et de minimiser les risques. Comptez sur le Threat Detection Marketplace de SOC Prime pour garder le doigt sur le pouls du paysage des menaces en constante évolution et bénéficier de plus de 900 contenus SOC sélectionnés pour la détection de ransomwares enrichis en CTI et adaptés à votre profil de menace.
