專門開發IT服務管理軟體的SysAid周三(11/8)呼籲客戶應儘速升級至SysAid 23.3.36,以修補已經遭到駭客攻擊的CVE-2023-47246零時差漏洞。微軟指出,駭客組織Lace Tempest已針對該漏洞展開攻擊,很可能是為了部署Clop勒索軟體。
SysAid說明,該公司的安全團隊是在11月2日注意到此一潛在的安全漏洞,緊接著展開的調查則顯示,這是一個位於SysAid就地部署軟體的路徑穿越(Path Traversal)漏洞,可能導致程式執行,而且已遭到駭客利用。本周釋出的修補程式不僅修復了CVE-2023-47246,也會針對用戶的網路進行全面的危害評估,以尋找相關的入侵指標。
Lace Tempest利用該漏洞上傳了含有一個WebShell與其它酬載的WAR檔案,至SysAid Tomcat網頁服務的根目錄中,該WebShell讓未經授權的駭客得以存取及控制目標系統,再利用一個PowerShell來執行惡意程式載入工具,繼之載入了木馬程式GraceWire。成功讓GraceWire進駐系統之後,駭客即可於受害系統上展開橫向移動,竊取資料並部署勒索軟體。此外,駭客還透過另一個PowerShell來抹去他們於系統上的攻擊痕跡。
此一安全漏洞主要影響就地部署的SysAid On-Prem伺服器,除了督促用戶儘快升級到SysAid 23.3.36之外,SysAid也建議用戶展開徹底的危害評估,以及檢查任何具備最高權限的憑證是否出現可疑活動。
微軟則提醒,除了修補之外,SysAid用戶也應該要檢查系統是否在修補之前便曾遭駭,以執行適當的清除行動。
熱門新聞
2024-11-25
2024-11-25
2024-11-15
2024-11-15
2024-11-26