Zero-day zraniteľnosť v softvéri SysAid

20. novembra 2023

Zero-day zraniteľnosť CVE-2023-47246 je aktívne zneužívaná v softvéri SysAid, čo umožňuje útočníkom nasadiť ransomvér Cl0p. Na zraniteľnosť poukázal bezpečnostný tím Profero. Úspešné zneužitie umožňuje útočníkom pristupovať k súborom a adresárom používateľov webového servera.

Zraniteľné systémy:

SysAid servery

Opis činnosti:

CVE-2023-47246 (CVSS skóre 9,8)

Zero-day zraniteľnosť CVE-2023-47246 sa nachádza v softvéri SysAid a umožňuje pristupovať ku citlivým súborom a adresárom na serveri. Útočníci majú možnosť pristupovať do webovej služby Tomcat a nahrať súbor, napríklad vo formáte WAR obsahujúci príkazový riadok, shell. To ďalej umožňuje napríklad nahrať škodlivý kód pre narušenie integrity systému.

Zraniteľnosť bola aktívne zneužívaná a útočníkom sa podarilo úspešne nasadiť ransomvér Cl0p.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonávanie škodlivého kódu
Kompromitácia dôvernosti, dostupnosti a integrity systému
Únik informácií

Odporúčania:

Bezodkladná aktualizácia na verziu 23.3.36 alebo novšiu.

Overenie kompromitácie pre administrátorov:

Skontrolujte nezvyčajné súbory vo webovej službe SysAid Tomcat, konkrétne WAR, ZIP alebo JSP súbory. Preskúmajte záznamy, či sa v nich nenachádzajú procesy zo súboru Wrapper.exe alebo nevyžiadané scripty. Monitorujte kľúčové procesy ako: spoolsv.exe, msiexec.exe, svchost.exe, kvôli známkam injekcie kódu. Vykonajte bezpečnostné skenovanie škodlivých indikátorov súvisiacich so zraniteľnosťou.

Odkazy:

https://www.rapid7.com/blog/post/2023/11/09/etr-cve-2023-47246-sysaid-zero-day-vulnerability-exploited-by-lace-tempest/

https://www.bleepingcomputer.com/news/security/microsoft-sysaid-zero-day-flaw-exploited-in-clop-ransomware-attacks/

https://profero.io/posts/sysaidonpremvulnerability/

https://nvd.nist.gov/vuln/detail/CVE-2023-47246