ClickCease Lace Tempest aprovecha el fallo de día cero de SysAid

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Lace Tempest aprovecha el fallo de día cero de SysAid

Wajahat Raja

23 de noviembre de 2023 - Equipo de expertos TuxCare

En una reciente revelación, SysAid, proveedor líder de software de gestión de TI, ha desvelado una amenaza de seguridad crítica que afecta a su software local. El actor de la amenaza, identificado como DEV-0950 o Lace Tempest por Microsoft, anteriormente vinculado al notorio ransomware ransomware Clop explota ahora una vulnerabilidad de día cero denominada CVE-2023-47246. Esta vulnerabilidad, si no se aborda, puede allanar el camino para el acceso no autorizado y el control de los sistemas, lo que supone un riesgo sustancial para las organizaciones. En esta entrada de blog, descubriremos la vulnerabilidad de día cero de fallo de día cero de SysAid y arrojaremos luz sobre las posibles medidas de mitigación.


La aparición de la ciberamenaza Lace Tempest


SysAid, en una entrada de blog, reveló la explotación activa de una vulnerabilidad de día cero de path traversal por parte de Lace Tempest. Esta revelación se produce tras la pronta detección de la explotación por parte de Microsoft, lo que provocó la actuación inmediata de SysAid. La gravedad del problema de
ciberseguridad de Lace Tempest

había orquestado anteriormente ataques generalizados contra usuarios del producto MoveIT Transfer, que afectaron a numerosas organizaciones, incluidas agencias gubernamentales estadounidenses.


Ciberseguridad Noticias Lace Tempest


El 2 de noviembre, Microsoft detectó la explotación de la vulnerabilidad
vulnerabilidad de SysAid y lo comunicó rápidamente a SysAid. El actor de la amenaza, Lace Tempest, fue rápidamente identificado como el orquestador detrás de la actividad maliciosa. La asociación de asociación con el ransomware Clop suscitó preocupación, teniendo en cuenta la implicación de Lace Tempest en ataques anteriores que incluían robo de datos y amenazas de rescate.


Mecanismo de fallo de día cero de SysAid


SysAid arrojó luz sobre los entresijos del
exploit de día cero en SysAid orquestado por Lace Tempest. El autor de la amenaza utilizó PowerShell para ocultar sus acciones, lo que dificultó la investigación eficaz por parte de los equipos de respuesta a incidentes. El modus operandi consistía en cargar un archivo WAR que contenía WebShell en la raíz web del servicio web Tomcat de SysAid. Esto, a su vez, otorgaba acceso no autorizado y control sobre el sistema comprometido.


Aviso urgente de SysAid


El sitio
actualización de seguridad de SysAid puso de manifiesto la urgencia de tomar medidas inmediatas actualizando a la versión corregida 23.3.36. La compañía hizo hincapié en la necesidad de que los usuarios busquen proactivamente indicadores de compromiso y, si es necesario, lleven a cabo medidas correctivas adicionales. Dada la gravedad de la amenaza, SysAid subrayó la importancia de seguir los manuales de respuesta a incidentes e instalar rápidamente los parches disponibles. Se advirtió específicamente a los usuarios que estuvieran atentos a los intentos de acceso no autorizado y a las cargas de archivos sospechosas en el directorio webroot del servicio web Tomcat.


Mitigar el riesgo


SysAid subrayó la importancia de adoptar medidas proactivas para proteger las instalaciones y mitigar los riesgos. Se aconsejó a los usuarios que revisaran la información sobre credenciales, examinaran los registros en busca de cualquier actividad inusual y vigilaran la presencia de archivos WebShell. La urgencia transmitida por SysAid refleja las posibles consecuencias de no abordar con prontitud la
vulnerabilidad de día cero.


Parche de SysAid para el fallo de día cero


En un comunicado separado en X (antes Twitter), Microsoft Threat Intelligence corroboró el descubrimiento de actividad de explotación relacionada con la vulnerabilidad del software
vulnerabilidad del software SysAid. Tras notificarlo a SysAid, Microsoft reconoció la rápida aplicación de parches a la vulnerabilidad. El gigante tecnológico, además de instar a los usuarios a parchear sus sistemas, advirtió a las organizaciones que realizaran búsquedas exhaustivas de indicios de explotación antes de aplicar los parches. Microsoft destacó que Lace Tempest podría aprovechar su acceso para exfiltrar datos y desplegar el ransomware Clop, estableciendo paralelismos con sus tácticas en los ataques de MoveIT Transfer.


Respuesta y colaboración de SysAid


SysAid, al enterarse del riesgo de seguridad en su software local, actuó con prontitud. La empresa contrató a expertos para que investigaran y resolvieran el problema con rapidez. La comunicación con los clientes locales comenzó inmediatamente, garantizando la aplicación de una solución alternativa. Se ha puesto en marcha una actualización completa del producto, con medidas de seguridad mejoradas, para hacer frente al riesgo de seguridad detectado. SysAid agradeció la colaboración del equipo de Defender de Microsoft en su respuesta al problema.

 

Conclusión


En
ciberataque Lace Tempest pone de manifiesto la naturaleza persistente y cambiante de las ciberamenazas. Ante tales retos, es primordial adoptar medidas proactivas, aplicar parches a tiempo y colaborar estrechamente con expertos en ciberseguridad. Las organizaciones deben permanecer vigilantes, adoptando un enfoque integral de la ciberseguridad para salvaguardar sus sistemas y datos sensibles de cualquier vulnerabilidad de día cero en los sistemas informáticos. A medida que avanza la tecnología, también lo hacen las amenazas, por lo que es imperativo que las empresas vayan un paso por delante en la batalla constante por la seguridad digital.

 

Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.

Resumen
Lace Tempest aprovecha el fallo de día cero de SysAid
Nombre del artículo
Lace Tempest aprovecha el fallo de día cero de SysAid
Descripción
Explore conocimientos críticos sobre cómo abordar el fallo de día cero de SysAid explotado por Lace Tempest. Actualice ahora y proteja su organización.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín