Detecção CVE-2023-47246: Hackers do Lace Tempest Exploram Ativamente uma Vulnerabilidade Zero-Day no Software SysAid IT

[post-views]
Novembro 13, 2023 · 4 min de leitura
Detecção CVE-2023-47246: Hackers do Lace Tempest Exploram Ativamente uma Vulnerabilidade Zero-Day no Software SysAid IT

Neste novembro, um conjunto de novos zero-days nos populares produtos de software está emergindo no domínio cibernético, como CVE-2023-22518 afetando todas as versões do Confluence Data Center e Server. Pouco após sua divulgação, outra falha de zero-day no software SysAid IT rastreada sob CVE-2023-47246 entra em cena. A Microsoft revelou traços de exploração de vulnerabilidade, com o grupo Lace Tempest, anteriormente conhecido pela entrega do ransomware Clop, por trás de ataques em circulação.

Detectar Tentativas de Exploração da CVE-2023-47246

Com os operadores do ransomware Clop explorando ativamente uma nova vulnerabilidade zero-day do SysAid IT, as organizações progressivas estão se esforçando para defender proativamente sua infraestrutura. A Plataforma SOC Prime fornece aos defensores uma nova regra Sigma curada para detectar tentativas de exploração da CVE-2023-47246 disponível através de um link abaixo:

Arquivo War Criado na Pasta SysAid Tomcat [CVE-2023-47246] (via file_event)

O algoritmo de detecção identifica um arquivo WAR criado no diretório SysAid Tomcat, o que pode ser um indicador da exploração da vulnerabilidade CVE-2023-47246. Esta regra Sigma aborda a tática de Acesso Inicial do MITRE ATT&CK junto com a técnica Explorar Aplicação Exposta Publicamente como sua principal técnica (T1190). O código de detecção também pode ser instantaneamente convertido em dezenas de formatos de linguagem de SIEM, EDR, XDR e Data Lake. 

Além disso, os defensores podem clicar no Explorar Detecções botão abaixo para acessar mais conteúdo relacionado à detecção de tentativas de exploração da CVE-2023-47246. Acesse instantaneamente regras Sigma relevantes, aproveite metadados acionáveis e não dê chance aos atacantes de agirem primeiro. 

Explorar Detecções

Análise da CVE-2023-47246

grupo Lace Tempest conhecido por disseminar ransomware Clop Está atualmente observado explorando um novo bug crítico de segurança no software de suporte e gerenciamento SysAid IT. A Microsoft recentemente descobriu a CVE-2023-47246, uma nova vulnerabilidade zero-day usada numa série de ataques atribuídos aos hackers Lace Tempest. Após a descoberta do problema, a Microsoft imediatamente reportou a falha ao SysAid, resultando em sua rápida correção.

CVE-2023-47246 é uma falha de travessia de caminho que pode ser usada por invasores através da escrita de um arquivo no webroot do Tomcat, potencialmente levando à execução de código em instâncias on-prem do SysAid.  Após o acesso inicial e a implantação do malware user.exe, os atores da ameaça aplicam um script PowerShell para apagar quaisquer vestígios de sua atividade do disco e dos logs do servidor on-prem SysAid. Durante a investigação, também foi descoberto que o Lace Tempest aplicou o carregador GraceWire para disseminar ainda mais a infecção. Além disso, as cadeias de ataque são marcadas pelo uso tanto do agente de administração remota MeshCentral quanto do PowerShell para baixar e executar o Cobalt Strike nos dispositivos da vítima. 

A SysAid corrigiu o problema na versão de software v23.3.36, no entanto, instâncias anteriores a essa versão estão expostas a riscos de exploração. 

O coletivo de hackers Lace Tempest também conhecido como DEV-0950 tem sido ligado aos ataques que utilizam falhas críticas de segurança, incluindo CVE-2023-34362, um zero-day no MOVEit Transfer, e CVE-2023-27350, uma falha de RCE nos servidores PaperCut. O grupo Lace Tempest se sobrepõe a outros coletivos de hackers rastreados como FIN11 e TA505, conforme relata a Microsoft em tweets relacionados. 

A SysAid recomenda tomar um conjunto de medidas de mitigação da CVE-2023-47246, principalmente, atualizar as instâncias no local para a versão mais recente 23.3.36, realizar uma avaliação completa de comprometimento do servidor potencialmente impactado com base em IOCs relevantes e monitorar continuamente os logs quanto a sinais de comportamento suspeito.
Com o crescente número de ataques levando ao uso de ransomware, as organizações estão procurando formas de adaptar continuamente suas defesas para enfrentar ameaças emergentes e minimizar os riscos. Conte com o Marketplace de Detecção de Ameaças do SOC Prime para manter-se atualizado sobre o cenário de ameaças em constante mudança e se beneficiar de mais de 900 conteúdos SOC curados para detecção de ransomware enriquecidos com CTI e adaptados ao seu perfil de ameaça.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Ameaças Mais Recentes, Blog — 7 min de leitura
CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Veronika Telychko
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Ameaças Mais Recentes, Blog — 6 min de leitura
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Veronika Telychko
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Ameaças Mais Recentes, Blog — 6 min de leitura
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Veronika Telychko