Rilevamento CVE-2023-47246: Gli Hacker Lace Tempest Sfruttano Attivamente una Vulnerabilità Zero-Day nel Software SysAid IT
Indice:
Questo novembre, un insieme di nuove vulnerabilità zero-day nei popolari prodotti software sta emergendo nel dominio cibernetico, come CVE-2023-22518 che colpisce tutte le versioni di Confluence Data Center e Server. Poco dopo la sua divulgazione, un’altra vulnerabilità zero-day nel software SysAid IT tracciata sotto CVE-2023-47246 si affaccia nel panorama. Microsoft ha rivelato tracce di sfruttamento della vulnerabilità, con il gruppo Lace Tempest, precedentemente noto per la distribuzione di ransomware Clop, dietro agli attacchi in-the-wild.
Rilevare i Tentativi di Sfruttamento di CVE-2023-47246
Con gli operatori di ransomware Clop che sfruttano attivamente una nuova vulnerabilità zero-day di SysAid IT, le organizzazioni progredite stanno cercando di difendere proattivamente la loro infrastruttura. La piattaforma SOC Prime fornisce ai difensori una nuova regola Sigma curata per rilevare i tentativi di sfruttamento di CVE-2023-47246 disponibile tramite il link sottostante:
File Archive War Creato nella Cartella SysAid Tomcat [CVE-2023-47246] (tramite file_event)
L’algoritmo di rilevamento identifica un archivio WAR creato nella directory SysAid Tomcat, che potrebbe essere un indicatore di sfruttamento della vulnerabilità CVE-2023-47246. Questa regola Sigma affronta la tattica iniziale di accesso MITRE ATT&CK insieme alla tecnica Exploit Public-Facing Application come sua tecnica principale (T1190). Il codice di rilevamento può essere convertito istantaneamente in decine di formati di lingua SIEM, EDR, XDR e Data Lake.
Inoltre, i difensori possono cliccare il Esplora Rilevamenti pulsante sottostante per accedere a più contenuti relativi al rilevamento dei tentativi di sfruttamento di CVE-2023-47246. Accedi istantaneamente a regole Sigma pertinenti, sfrutta metadati azionabili e non lasciare nessuna possibilità agli attaccanti di colpire per primi.
Analisi di CVE-2023-47246
Il gruppo Lace Tempest noto per la diffusione ransomware Clop è attualmente osservato mentre sfrutta un nuovo bug critico di sicurezza nel software di supporto e gestione IT di SysAid. Microsoft ha recentemente scoperto CVE-2023-47246, una nuova vulnerabilità zero-day armata in una serie di attacchi attribuiti agli hacker Lace Tempest. Dopo la scoperta del problema, Microsoft ha immediatamente segnalato a SysAid la vulnerabilità, portando alla sua rapida correzione.
CVE-2023-47246 è un difetto di attraversamento del percorso che può essere armato dagli attaccanti tramite la scrittura di un file nella webroot Tomcat, potenzialmente portando all’esecuzione di codice nelle istanze on-prem di SysAid. Dopo l’accesso iniziale e il deployment del malware user.exe, gli attaccanti applicano uno script PowerShell per eliminare qualsiasi traccia della loro attività dal disco e dai log del server on-prem di SysAid. Durante l’indagine, è stato anche scoperto che Lace Tempest ha applicato il loader GraceWire per diffondere ulteriormente l’infezione. Inoltre, le catene di attacco sono contrassegnate dall’uso sia dello strumento di amministrazione remota MeshCentral Agent sia di PowerShell per scaricare ed eseguire Cobalt Strike sui dispositivi delle vittime.
SysAid ha risolto il problema nella versione software v23.3.36, tuttavia, le istanze precedenti a questa versione sono esposte ai rischi di sfruttamento.
Il collettivo di hacker Lace Tempest, noto anche come DEV-0950, è stato anche collegato agli attacchi che armano falle di sicurezza critiche, tra cui CVE-2023-34362, una zero-day in MOVEit Transfer, e CVE-2023-27350, una falla RCE nei server PaperCut. Il gruppo Lace Tempest si sovrappone ad altri collettivi di hacker tracciati come FIN11 e TA505, come riporta Microsoft in tweet correlati.
SysAid consiglia di adottare una serie di misure di mitigazione per CVE-2023-47246, principalmente aggiornando le istanze on-premises alla versione più recente 23.3.36, effettuando una valutazione completa di compromissione del server potenzialmente impattato basata su IOC rilevanti, e monitorando costantemente i log per eventuali segni di comportamento sospetto.
Con il crescente numero di attacchi che portano alla distribuzione di ransomware, le organizzazioni cercano modi per adattare continuamente le loro difese alle minacce emergenti e minimizzare i rischi. Affidati al Threat Detection Marketplace di SOC Prime per tenere il polso del panorama delle minacce in continua evoluzione e trarre vantaggio da 900+ contenuti SOC curati per rilevamento del ransomware arricchiti con CTI e su misura per il tuo profilo di minaccia.
