Microsoft waarschuwt dat een kwetsbaarheid in de systeembeheersoftware van SysAid actief wordt misbruikt. Meer specifiek voor het verspreiden van de bekende Clop-ransomware.
Recent is een kwetsbaarheid in de syteembeheersoftware van SysAid ontdekt. De softwareleverancier bevestigde deze CVE-2023-47246-kwetsbaarheid en waarschuwde dat deze actief kon worden misbruikt.
De kwetsbaarheid is een zogenoemde ‘path traversal’-kwetsbaarheid die tot het uitvoeren van willekeurige code kan leiden in de SysAid on-premises software. Hackers laden hiervoor een zogenoemd WAR-bestand met een WebShell en andere (kwaadaardige) payloads in de webroot van de SysAid Tomcat-webservice.
Actief misbruik voor ransomware
Microsoft heeft nu geconstateerd dat de exploit inderdaad actief wordt misbruikt en door niemand minder dan de Lace Tempest-ransomwarebende. Deze bende wordt onder meer verantwoordelijk gehouden voor het verspreiden van de Clop-ransomware die eerder dit jaar onder meer tot de beruchte MOVEit Transfer- en GoAnywhere MFT-inbreuken leidden. Bij deze aanvallen werd ook gevoelige data gestolen.
Volgens Microsoft heeft Lace Tempest commando’s via de SysAid-software verstuurd voor het afleveren van een malware-loader voor de Gracewire-malware. Deze actie wordt vaak gevolgd door handmatige hackactiviteit, zoals laterale bewegingen, datadiefstal en het verspreiden van ransomware.
Omvang kwetsbaarheid onbekend
Hoeveel bedrijven die de SysAid-software gebruiken inmiddels zijn getroffen, is onduidelijk. Het bedrijf heeft volgens onderzoekers van Rapid7 ongeveer 5.000 klanten die allemaal mogelijk kwetsbaar zijn. Dit maakt een eventuele actieve exploit net zo gevaarlijk als die van bijvoorbeeld de eerdere MOVEit-aanval.
SysAid zelf heeft inmiddels een patch voor de kwetsbaarheid uitgebracht en roept gebruikers op hun systemen te updaten naar versie 23.3.36. Ook moeten klanten een analyse maken van hun SysAid-server en onderzoeken welke informatie iemand met volledige toegang tot de server kon inzien. Verder moeten zij ook checken op afwijkend gedrag.
Lees ook: Hoe de MOVEit-kwetsbaarheid al sinds mei slachtoffers maakt
1 dag geleden
