Lace Tempest nutzt SysAid-Zero-Day-Schwachstelle aus
SysAid, ein führender Anbieter von IT-Verwaltungssoftware, hat vor kurzem eine kritische Sicherheitsbedrohung aufgedeckt, die seine vor Ort installierte Software betrifft. Der Bedrohungsakteur, der von Microsoft als DEV-0950 oder Lace Tempest identifiziert wurde, stand zuvor in Verbindung mit der berüchtigten Clop-Ransomware Gruppe in Verbindung gebracht wurde, nutzt jetzt eine Zero-Day-Schwachstelle mit der Bezeichnung CVE-2023-47246 aus. Diese Schwachstelle kann, wenn sie nicht behoben wird, den Weg für unbefugten Zugriff und Kontrolle über Systeme ebnen, was ein erhebliches Risiko für Unternehmen darstellt. In diesem Blog-Beitrag decken wir die SysAid Zero-Day-Schwachstelle und beleuchten mögliche Abhilfemaßnahmen.
Das Auftauchen der Cyber-Bedrohung Lace Tempest
SysAid hat in einem Blog-Beitrag die aktive Ausnutzung einer Zero-Day-Schwachstelle für Path Traversal durch Lace Tempest bekannt gegeben. Diese Enthüllung folgt auf die frühzeitige Entdeckung der Schwachstelle durch Microsoft, die SysAid zum sofortigen Handeln veranlasste. Die Schwere der Lace Tempest Cybersicherheit
hatte zuvor weit verbreitete Angriffe auf Benutzer von MoveIT Transfer-Produkten inszeniert, von denen zahlreiche Organisationen betroffen waren, darunter auch US-Regierungsstellen.
Cybersecurity Nachrichten Lace Tempest
Am 2. November entdeckte Microsoft die Ausnutzung der SysAid-Schwachstelle und meldete dies umgehend an SysAid. Der Bedrohungsakteur Lace Tempest wurde schnell als Drahtzieher der bösartigen Aktivitäten identifiziert. Die Verbindung mit der Clop-Ransomware gab Anlass zur Sorge, da Lace Tempest bereits an früheren Angriffen beteiligt war, bei denen es um Datendiebstahl und Lösegelddrohungen ging.
SysAid Zero-Day-Schwachstellen-Mechanismus
SysAid beleuchtet die Feinheiten der Zero-Day-Exploit in SysAid der von Lace Tempest inszeniert wurde. Der Bedrohungsakteur setzte PowerShell ein, um seine Aktionen zu verschleiern, was es für die Reaktionsteams schwierig machte, eine effektive Untersuchung durchzuführen. Der Modus Operandi umfasste das Hochladen eines WebShell-haltigen WAR-Archivs in die Webroot des SysAid-Tomcat-Webdienstes. Dies wiederum ermöglichte unbefugten Zugriff und Kontrolle über das angegriffene System.
SysAid's dringende Beratung
Die SysAid-Sicherheitsupdate zeigte die Dringlichkeit auf, sofort zu handeln und auf die korrigierte Version 23.3.36. Das Unternehmen betonte, dass die Benutzer proaktiv nach Anzeichen für eine Gefährdung suchen und gegebenenfalls weitere Abhilfemaßnahmen ergreifen müssen. In Anbetracht der Schwere der Bedrohung betonte SysAid, wie wichtig es ist, sich an die Playbooks für die Reaktion auf Vorfälle zu halten und die verfügbaren Patches umgehend zu installieren. Die Benutzer wurden insbesondere gewarnt, auf unbefugte Zugriffsversuche und verdächtige Datei-Uploads innerhalb des Webroot-Verzeichnisses des Tomcat-Webdienstes zu achten.
Abmilderung des Risikos
SysAid betonte die Wichtigkeit proaktiver Maßnahmen zur Sicherung von Installationen und zur Risikominderung. Den Benutzern wurde geraten, die Anmeldeinformationen zu überprüfen, die Protokolle auf ungewöhnliche Aktivitäten zu untersuchen und auf das Vorhandensein von WebShell-Dateien zu achten. Die von SysAid vermittelte Dringlichkeit spiegelt die potenziellen Folgen wider, wenn die Zero-Day-Schwachstelle.
SysAid-Patch für Zero-Day-Schwachstelle
In einer separaten Erklärung auf X (ehemals Twitter) bestätigte Microsoft Threat Intelligence die Entdeckung von Ausnutzungsaktivitäten im Zusammenhang mit der SysAid-Software-Schwachstelle. Nach der Benachrichtigung von SysAid bestätigte Microsoft die rasche Behebung der Sicherheitslücke. Der Tech-Gigant forderte die Benutzer nicht nur auf, ihre Systeme zu patchen, sondern warnte die Unternehmen auch, vor der Anwendung von Patches gründlich nach Anzeichen für eine Ausnutzung der Schwachstelle zu suchen. Microsoft wies darauf hin, dass Lace Tempest ihren Zugang nutzen könnte, um Daten zu exfiltrieren und Clop-Ransomware einzusetzen, und zog Parallelen zu ihrer Taktik bei den MoveIT-Transfer-Angriffen.
Antwort von SysAid und Zusammenarbeit
Als SysAid von dem Sicherheitsrisiko in seiner vor Ort installierten Software erfuhr, handelte es umgehend. Das Unternehmen beauftragte Experten mit der Untersuchung und raschen Behebung des Problems. Die Kommunikation mit den On-Premises-Kunden wurde sofort aufgenommen, um die Implementierung einer Umgehungslösung sicherzustellen. Es wurde ein umfassendes Produkt-Upgrade mit verbesserten Sicherheitsmaßnahmen eingeführt, um das festgestellte Sicherheitsrisiko zu beheben. SysAid bedankte sich für die kooperative Unterstützung durch das Defender-Team von Microsoft während der gesamten Reaktion auf das Problem.
Schlussfolgerung
Die Lace-Tempest-Cyberangriff unterstreicht, wie hartnäckig Cyber-Bedrohungen sind und sich weiterentwickeln. Angesichts solcher Herausforderungen sind proaktive Maßnahmen, rechtzeitige Patches und eine enge Zusammenarbeit mit Cybersicherheitsexperten von größter Bedeutung. Unternehmen müssen wachsam bleiben und einen umfassenden Ansatz zur Cybersicherheit um ihre Systeme und sensiblen Daten vor jeder Zero-Day-Schwachstelle in IT-Systemen. Mit dem technologischen Fortschritt wachsen auch die Bedrohungen, so dass es für Unternehmen unerlässlich ist, im ständigen Kampf um die digitale Sicherheit einen Schritt voraus zu sein.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Bleeping Computer.