专门开发IT服务管理软体的SysAid周三(11/8)呼吁客户应尽速升级至SysAid 23.3.36,以修补已经遭到骇客攻击的CVE-2023-47246零时差漏洞。微软指出,骇客组织Lace Tempest已针对该漏洞展开攻击,很可能是为了部署Clop勒索软体。
SysAid说明,该公司的安全团队是在11月2日注意到此一潜在的安全漏洞,紧接著展开的调查则显示,这是一个位于SysAid就地部署软体的路径穿越(Path Traversal)漏洞,可能导致程式执行,而且已遭到骇客利用。本周释出的修补程式不仅修复了CVE-2023-47246,也会针对用户的网路进行全面的危害评估,以寻找相关的入侵指标。
Lace Tempest利用该漏洞上传了含有一个WebShell与其它酬载的WAR档案,至SysAid Tomcat网页服务的根目录中,该WebShell让未经授权的骇客得以存取及控制目标系统,再利用一个PowerShell来执行恶意程式载入工具,继之载入了木马程式GraceWire。成功让GraceWire进驻系统之后,骇客即可于受害系统上展开横向移动,窃取资料并部署勒索软体。此外,骇客还透过另一个PowerShell来抹去他们于系统上的攻击痕迹。
此一安全漏洞主要影响就地部署的SysAid On-Prem伺服器,除了督促用户尽快升级到SysAid 23.3.36之外,SysAid也建议用户展开彻底的危害评估,以及检查任何具备最高权限的凭证是否出现可疑活动。
微软则提醒,除了修补之外,SysAid用户也应该要检查系统是否在修补之前便曾遭骇,以执行适当的清除行动。