Last updated at Fri, 10 Nov 2023 19:25:41 GMT

2023年11月8日,IT服务管理公司赛义德 disclosed CVE-2023-47426,一个零日路径遍历漏洞,影响本地SysAid服务器. 根据微软威胁情报团队的说法, 它已经被DEV-0950(蕾丝风暴)在“有限攻击”中利用.” In a social media thread published the evening of November 8, Microsoft emphasized 蕾丝·风暴散播Cl0p勒索软件, 利用CVE-2023-47246很可能导致勒索软件部署和/或数据泄露. 蕾丝·暴风雨和制造 MOVEit Transfer and GoAnywhere MFT extortion attacks earlier this year.

Note: Rapid7正在调查至少一个客户环境中与此漏洞相关的危害证据.

SysAid’s advisory 关于CVE-2023-47246的漏洞包括Profero的调查结果 discovered the vulnerability; the advisory says the attacker “uploaded a WAR archive containing a WebShell and other payloads into the webroot of the SysAid Tomcat web service.“攻击后的行为包括部署MeshAgent远程管理工具和GraceWire恶意软件. 在供应商建议中有关于攻击链的大量详细信息, along with robust indicators of compromise. An employee of technology company Elastic also reported 11月8日晚,Elastic发现早在10月30日就在野外开采了.

赛义德的网站声称,该公司拥有超过5个这样的公司,000 customers, 包括一些大公司的标志装饰 SysAid’s customer page. Shodan searches for either a specific CSS file or the favicon 两者都只返回暴露在公共互联网上的416个SysAid实例. (注意,“暴露”并不一定意味着这些实例是脆弱的.)

Mitigation guidance

CVE-2023-47246 is fixed in version 23.3.36 of SysAid server. 考虑到勒索软件和勒索攻击的可能性, 拥有本地SysAid服务器的组织应该应用供应商提供的补丁 on an emergency basis, 如果可能,调用事件响应过程, 并确保服务器没有暴露在公共互联网上. 我们还强烈建议审查SysAid的妥协指标 advisory 检查环境是否有可疑活动, though notably, 该报告称,攻击者可能会通过清理磁盘上的日志和工件来掩盖他们的踪迹.

Indicators of compromise

SysAid在他们的建议中有一个广泛的ioc列表和观察到的攻击者行为. Rather than reproducing that here, 我们敦促各组织使用该供应商建议作为其威胁搜索的起始真相来源: http://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification

Rapid7 has a Velociraptor artifact 可用于帮助组织识别与此零日漏洞相关的利用后活动:

  • Yara.Process: 目标通过YARA进程观察到恶意软件和Cobalt Strike
  • Disk.Ntfs: Targets known disk IOCs via Windows.ntfs.mft
  • Forensic.Usn: Targets known disk IOCs via USN journal
  • Evtx.Defender: 搜索Defender事件日志以获取相关警报的证据
  • Evtx.NetworkIOC: 目标是防火墙、Sysmon和PowerShell日志中已知的网络IOCs字符串

Rapid7 customers

在今天(11月9日)的内容发布中,InsightVM和expose的客户可以使用经过身份验证的Windows检查来评估他们对CVE-2023-47246的暴露程度.

通过Rapid7扩展的检测规则库,insighttidr和Managed Detection and Response客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表,并会对与此零日漏洞相关的利用后行为发出警报:

  • 攻击者技术- spolsv生成CMD或PowerShell
  • Attacker Technique - Possible Process Injection
  • Attacker Technique - PowerShell Download Cradles
  • Attacker Tool - CobaltStrike PowerShell Commands
  • 可疑的网络连接-目标地址在钴罢工C2列表

Updates

November 9, 2023: 更新说明,普罗费罗进行的调查 identified the zero-day vulnerability. 微软被认为在野外发现了漏洞利用.

更新注意到,Rapid7正在调查至少一个客户环境中与此漏洞相关的危害证据.