最后更新于2023年11月10日星期五19:25:41 GMT

2023年11月8日,IT服务管理公司赛义德 披露cve - 2023 - 47426,一个零日路径遍历漏洞,影响本地SysAid服务器. 根据微软威胁情报团队的说法, 它已经被DEV-0950(蕾丝风暴)在“有限攻击”中利用.“在一个 社交媒体线索 发表于11月8日晚上, 微软强调 蕾丝·风暴散播Cl0p勒索软件, 利用CVE-2023-47246很可能导致勒索软件部署和/或数据泄露. 蕾丝·暴风雨和制造 MOVEit转移 and GoAnywhere管辖 勒索事件 今年早些时候.

Note: Rapid7正在调查至少一个客户环境中与此漏洞相关的危害证据.

SysAid的 咨询 关于CVE-2023-47246的漏洞包括Profero的调查结果 发现漏洞; the 咨询 says the attacker “uploaded a WAR archive containing a WebShell and other payloads into the webroot of the SysAid Tomcat web service.“攻击后的行为包括部署MeshAgent远程管理工具和GraceWire恶意软件. 在供应商建议中有关于攻击链的大量详细信息, 同时还有强有力的妥协迹象. 也是科技公司Elastic的一名员工 报道 11月8日晚,Elastic发现早在10月30日就在野外开采了.

赛义德的网站声称,该公司拥有超过5个这样的公司,000客户, 包括一些大公司的标志装饰 SysAid的客户页面. Shodan都在找 特定的CSS文件 或者是 的图标 两者都只返回暴露在公共互联网上的416个SysAid实例. (注意,“暴露”并不一定意味着这些实例是脆弱的.)

缓解指导

修复了CVE-2023-47246的版本 23.3.36 SysAid服务器. 考虑到勒索软件和勒索攻击的可能性, 拥有本地SysAid服务器的组织应该应用供应商提供的补丁 在紧急情况下, 如果可能,调用事件响应过程, 并确保服务器没有暴露在公共互联网上. 我们还强烈建议审查SysAid的妥协指标 咨询 检查环境是否有可疑活动, 不过值得注意的是, 该报告称,攻击者可能会通过清理磁盘上的日志和工件来掩盖他们的踪迹.

妥协指标

SysAid在他们的建议中有一个广泛的ioc列表和观察到的攻击者行为. 而不是在这里复制, 我们敦促各组织使用该供应商建议作为其威胁搜索的起始真相来源: http://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification

Rapid7有一个 迅猛龙的工件 可用于帮助组织识别与此零日漏洞相关的利用后活动:

  • Yara.过程: 目标通过YARA进程观察到恶意软件和Cobalt Strike
  • Disk.Ntfs: 通过目标已知的磁盘ioc 窗户。.ntfs.mft
  • 法医.Usn: 目标已知的磁盘IOCs通过USN日志
  • Evtx.后卫: 搜索Defender事件日志以获取相关警报的证据
  • Evtx.NetworkIOC: 目标是防火墙、Sysmon和PowerShell日志中已知的网络IOCs字符串

Rapid7客户

在今天(11月9日)的内容发布中,InsightVM和expose的客户可以使用经过身份验证的窗户。检查来评估他们对CVE-2023-47246的暴露程度.

通过Rapid7扩展的检测规则库,insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表,并会对与此零日漏洞相关的利用后行为发出警报:

  • 攻击者技术- spolsv生成CMD或PowerShell
  • 攻击者技术-可能的进程注入
  • 攻击者技术- PowerShell下载摇篮
  • 攻击工具- CobaltStrike PowerShell命令
  • 可疑的网络连接-目标地址在钴罢工C2列表

更新

2023年11月9日: 更新说明,普罗费罗进行的调查 识别了零日漏洞. 微软被认为在野外发现了漏洞利用.

更新注意到,Rapid7正在调查至少一个客户环境中与此漏洞相关的危害证据.