Une faille zero-day dans SysAid est exploitée au sein d’attaques avec le ransomware Clop !
vendredi 10 novembre 2023 à 08:44Un gang de cybercriminels exploite une nouvelle faille de sécurité zero-day dans la solution SysAid, leur permettant d'accéder aux serveurs de l'entreprise dans le but de chiffrer et d'exfiltrer les données avec le ransomware Clop. Faisons le point sur cette menace.
Pour ceux qui ne connaissent pas SysAid, il s'agit d'une solution de type ITSM, c'est-à-dire une solution de gestion de service informatique, au même titre que GLPI.
Le 2 novembre 2023, l'équipe Microsoft Threat Intelligence a fait la découverte de cette campagne d'attaques initiée par un groupe de cybercriminels nommé Lace Tempest. En exploitant cette vulnérabilité désormais associée à la référence CVE-2023-47246, les pirates parviennent à compromettre des serveurs dans le but de déployer le ransomware Clop.
D'après SysAid, il s'agit d'une vulnérabilité de type "path transversal" qui permet à l'attaquant d'exécuter du code malveillant sur le serveur. Ainsi, Lace Tempest a exploité cette faille zero-day pour télécharger une archive WAR (Web Application Resource) contenant un webshell, à la racine du serveur Tomcat (dans la "webroot"). Ceci permet ensuite d'exécuter des scripts PowerShell supplémentaires pour charger plusieurs souches malveillantes et divers outils (notamment GraceWire et Cobalt Strike).
Le ransomware Clop est particulièrement redoutable et ce gang est connu pour exploiter des failles de sécurité zero-day au sein de solutions populaires. Nous avions eu un excellent exemple avec MOVEit Transfer, et ceci se confirme aujourd'hui avec SysAid.
SysAid : un correctif de sécurité est disponible !
SysAid a déployé un correctif en urgence pour corriger la faille de sécurité CVE-2023-47246. Pour vous protéger, vous devez installer la version SysAid 23.3.36 (ou supérieur), comme l'indique SysAid dans son bulletin d'alerte.
Au-delà d'installer ce correctif, vous pouvez effectuer un ensemble d'actions pour détecter un éventuel signe de compromission sur votre serveur. Par exemple, vous devez vérifiez la racine web Tomcat du serveur SysAid à la recherche de fichiers inhabituels et suspects, notamment des fichiers WAR, ZIP ou JSP dont l'horodatage est anormal. Par ailleurs, regardez s'il y a des flux sortants à destinations des serveurs C2 des cybercriminels dont voici les adresses IP :
- 81.19.138[.]52
- 45.182.189[.]100
- 179.60.150[.]34
- 45.155.37[.]105
The post Une faille zero-day dans SysAid est exploitée au sein d’attaques avec le ransomware Clop ! first appeared on IT-Connect.