Το SysAid λέει στους πελάτες να επιδιορθώσουν αμέσως μετά την επισήμανση της καμπάνιας ransomware της Microsoft που εκμεταλλεύεται νέο ελάττωμα zero-day

Η SysAid προέτρεψε τους πελάτες της να αναπτύξουν την πιο πρόσφατη

ενημέρωση

κώδικα και να δώσουν ιδιαίτερη προσοχή στην κίνηση μέσα και έξω από τους διακομιστές τους, καθώς εντοπίστηκαν χάκερ να κάνουν κατάχρηση ενός ελαττώματος zero-day για να απορρίψουν

ransomware

.

Σε ένα

ανάρτηση

CTO της Ομάδας Αντιμετώπισης Συμβάντων SysAid και Profero, Sasha Shapirov, σημείωσε ότι η εταιρεία είχε ανακαλύψει μια «δυνητική ευπάθεια» στις 2 Νοεμβρίου, μετά από ενημέρωση από τη Microsoft.

Περαιτέρω έρευνα διαπίστωσε ότι η ευπάθεια ήταν ένα ελάττωμα μηδενικής ημέρας στο λογισμικό SysAid εντός εγκατάστασης.

Το

ελάττωμα παρακολουθείται ως CVE-2023-47246 και περιγράφεται ως ευπάθεια διέλευσης διαδρομής που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα.

Μένοντας ασφαλής

Η ομάδα Threat Intelligence της Microsoft εντόπισε τη Lace Tempest (AKA DEV-0959) ως την ομάδα που έκανε κατάχρηση του ελαττώματος, προφανώς για να απορρίψει τον κρυπτογράφηση ransomware Cl0p. Αυτή είναι μια επίθεση πολλαπλών σταδίων που ξεκινά με τη μεταφόρτωση ενός αρχείου WAR που περιέχει ένα WebShell και άλλα ωφέλιμα φορτία, στο webroot της υπηρεσίας Web SysAid Tomcat. Τελειώνει με ransomware και ένα Cobalt Strike beacon, για καλό μέτρο.

Για να διατηρούν ασφαλή τα τελικά σημεία τους, το SysAid προτρέπει όλους τους χρήστες να ενημερώσουν το λογισμικό τους στην έκδοση 23.3.36, η οποία διορθώνει το ελάττωμα διέλευσης διαδρομής και αποτρέπει την εγκατάσταση του ransomware.

Επιπλέον

, οι χρήστες θα πρέπει να «διεξάγουν μια ολοκληρωμένη αξιολόγηση συμβιβασμού» του δικτύου τους για να αναζητήσουν περαιτέρω δείκτες συμβιβασμού.

Περισσότερες λεπτομέρειες σχετικά με τους δείκτες και τον τρόπο εντοπισμού Lace Tempest μπορείτε να βρείτε στο


αυτός ο σύνδεσμος


.

Το SysAid είναι μια εκτενής σειρά προϊόντων διαχείρισης υπηρεσιών πληροφορικής (ITSM) που βοηθά τις επιχειρήσεις να διαχειρίζονται διαφορετικές

υπηρεσίες

πληροφορικής στον οργανισμό τους. Το Cl0p, από την άλλη πλευρά, είναι ένας διαβόητος παράγοντας απειλών ransomware πιθανότατα από τη Ρωσία. Κέρδισε παγκόσμια φήμη το περασμένο καλοκαίρι, αφού διείσδυσε επιτυχώς στην υπηρεσία μεταφοράς αρχείων που διαχειρίζεται το MOVEit και παραβίασε ευαίσθητα δεδομένα που ανήκουν σε χιλιάδες εταιρείες και εκατομμύρια άτομα.