最终更新Thu, 09nov 2023:31:16 GMT
2023年11月8日,IT服务管理公司SysAid将使用影响本地SysAid服务器的零密码服务器漏洞公布CVE-2023-47426做了。。微软的威胁情报小组说,这个漏洞被DEV-0950 (Lace Tempest)利用了“有限攻击”。。
11月8日晚上,社交媒体上的一个帖子微软是Lace Tempest发布Cl0p勒索软件,恶意利用CVE-2023-47246很有可能导致勒索软件部署和数据泄露。强调一下有。。Lace Tempest在今年年初moveit transfer和GoAnywhere MFT恐吓攻击和那些威胁行为者一样。。
注:Rapid7正在调查至少一个客户环境中与该漏洞相关的侵犯证据。。
SysAid关于CVE-2023-47246的建议包括:这种脆弱Profero发现了性。。根据这个建议,攻击者“将包含WebShell和其他有效载荷的WAR档案上传到了SysAid Tomcat web服务Webroot”。。入侵后的行为包括部署MeshAgent远程管理工具和GraceWire恶意软件。在供应商的建议中,有关于攻击链的广泛细节,以及牢固的侵犯指标。。科技公司Elastic的员工也在11月8日晚上说,Elastic在10月30日的时候就发现了恶意利用。来报告。。
在SysAid的网站上,该公司有超过5,000个客户,其中包括: 在SysAid的客户页面上包括那些有logo的大公司。。shodan中特定的CSS文件或者把fabicon我搜索了一下,在互联网上公开的四分之一实例只有416个。。(注意,即使是“公开的”,这些实例也不一定是脆弱的)。
缓和方针
CVE-2023-47246是SysAid服务器版本23.3.36で都被修改了。。考虑到勒索软件和恐吓攻击的可能性,使用本地SysAid服务器的组织可以使用供应商提供的补丁紧急地应用它,如果可能的话,执行事件处理程序,确保服务器没有被发布在公共互联网上。。另外,SysAid的劝告我强烈建议你去检查环境,看看有没有什么可疑的迹象。。但是,根据这个建议,攻击者可能会通过清理日志和磁盘上的伪影来消除痕迹。。
妥协的指标
在他们的建议中,SysAid和国际奥委会有广泛的被观察到的攻击者的行动列表。。我们强烈建议组织使用其供应商的建议作为威胁狩猎的真实出发点。做:http://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification
Rapid7用于识别与零日漏洞相关的利用漏洞之后的活动我们准备了Velociraptor伪影:
Rapid7的客户
insightvm および Nexpose をご利用のお客様は、本日(11月9日)のコンテンツリリースで提供される認証済み windows チェックにより、CVE-2023-47246 への暴露を評価することができます。
通过Rapid7广泛的检测规则库,使用insightidr和管理检测与响应的客户可以使用现有的检测覆盖范围。Rapid7建议在所有符合的主机上安装洞察Agent,以便可视化可疑过程并确保适当的检测范围。。以下是已引入检测的非全面列表,对与此零日漏洞相关的漏洞利用之后的操作发出警告:
更新信息
2023年11月9日识别零日漏洞为了补充Profero所做的调查而更新了。。微软检测到了在放任状态下的恶意使用。。
Rapid7已经更新,以补充我们正在调查至少一个客户环境中与该漏洞相关的侵权证据。。
※本博客是英语版博客"sisaid Zero-Day Vulnerability Exploited By Lace Tempest"的机器翻译版。。关于最新信息,请参照原文。。