ClickCease Lace Tempest exploite la faille Zero-Day de SysAid

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Lace Tempest exploite la faille Zero-Day de SysAid

Wajahat Raja

23 novembre 2023 - L'équipe d'experts de TuxCare

SysAid, l'un des principaux fournisseurs de logiciels de gestion informatique, a récemment révélé l'existence d'une menace de sécurité grave affectant son logiciel sur site. L'acteur de la menace, identifié par Microsoft sous le nom de DEV-0950 ou Lace Tempest, était auparavant lié au célèbre rançongiciel Clop ransomware exploite désormais une vulnérabilité de type "zero-day" appelée CVE-2023-47246. Cette vulnérabilité, si elle n'est pas corrigée, peut ouvrir la voie à un accès et un contrôle non autorisés sur les systèmes, ce qui représente un risque substantiel pour les organisations. Dans ce billet de blog, nous allons découvrir la faille Zero-Day de SysAid et nous mettrons en lumière les mesures d'atténuation possibles.


L'émergence de la cybermenace Lace Tempest


Dans un billet de blog, SysAid a révélé l'exploitation active d'une vulnérabilité zero-day de type "path traversal" par Lace Tempest. Cette révélation fait suite à la détection précoce de l'exploitation par Microsoft, ce qui a incité SysAid à prendre des mesures immédiates. La gravité de la faille
Lace Tempest cybersécurité

avait auparavant orchestré des attaques généralisées contre les utilisateurs des produits MoveIT Transfer, affectant de nombreuses organisations, y compris des agences gouvernementales américaines.


Cybersécurité Nouvelles Lace Tempest


Le 2 novembre, Microsoft a détecté l'exploitation de la vulnérabilité de
vulnérabilité de SysAid et l'a rapidement signalée à SysAid. L'acteur de la menace, Lace Tempest, a été rapidement identifié comme l'orchestrateur de l'activité malveillante. L'association avec le ransomware Clop association avec le ransomware Clop a suscité des inquiétudes, compte tenu de l'implication de Lace Tempest dans des attaques antérieures impliquant des vols de données et des menaces de rançon.


Mécanisme de la faille Zero-Day de SysAid


SysAid a fait la lumière sur les subtilités de l'exploit zero-day de SysAid.
exploit de type "zero-day" dans SysAid orchestré par Lace Tempest. L'acteur de la menace a utilisé PowerShell pour obscurcir ses actions, ce qui a compliqué la tâche des équipes d'intervention en cas d'incident. Le modus operandi consistait à télécharger une archive WAR contenant WebShell dans le webroot du service web Tomcat de SysAid. Cela a permis d'obtenir un accès et un contrôle non autorisés sur le système compromis.


Avis d'urgence de SysAid


La mise à jour de sécurité de SysAid
Mise à jour de sécurité de SysAid a révélé l'urgence de prendre des mesures immédiates en passant à la version corrigée 23.3.36. L'entreprise a insisté sur la nécessité pour les utilisateurs de rechercher de manière proactive des indicateurs de compromission et, le cas échéant, d'entreprendre des mesures correctives supplémentaires. Compte tenu de la gravité de la menace, SysAid a souligné l'importance d'adhérer aux manuels de réponse aux incidents et d'installer rapidement les correctifs disponibles. Les utilisateurs ont été spécifiquement avertis d'être vigilants quant aux tentatives d'accès non autorisé et aux téléchargements de fichiers suspects dans le répertoire webroot du service web Tomcat.


Atténuer le risque


SysAid a souligné l'importance des mesures proactives pour sécuriser les installations et réduire les risques. Il a été conseillé aux utilisateurs de vérifier les informations d'identification, d'examiner attentivement les journaux pour détecter toute activité inhabituelle et de surveiller la présence de fichiers WebShell. L'urgence exprimée par le SysAid reflète les conséquences potentielles d'une absence de traitement rapide de la
vulnérabilité de type "zero-day.


Correctif SysAid pour la faille Zero-Day


Dans une déclaration séparée sur X (anciennement Twitter), Microsoft Threat Intelligence a corroboré la découverte d'une activité d'exploitation liée à la vulnérabilité logicielle SysAid.
vulnérabilité du logiciel SysAid. Après avoir notifié SysAid, Microsoft a reconnu que la vulnérabilité avait été rapidement corrigée. Le géant de la technologie, en plus d'exhorter les utilisateurs à patcher leurs systèmes, a averti les organisations de mener des recherches approfondies sur les signes d'exploitation avant d'appliquer les correctifs. Microsoft a souligné que Lace Tempest pourrait tirer parti de son accès pour exfiltrer des données et déployer le ransomware Clop, établissant ainsi un parallèle avec les tactiques employées lors des attaques MoveIT Transfer.


Réponse et collaboration de SysAid


SysAid a réagi rapidement lorsqu'elle a appris qu'il existait un risque de sécurité dans son logiciel sur site. L'entreprise a fait appel à des experts pour enquêter sur le problème et le résoudre rapidement. La communication avec les clients sur site a commencé immédiatement, assurant la mise en œuvre d'une solution de contournement. Une mise à jour complète du produit, comprenant des mesures de sécurité renforcées, a été déployée pour répondre au risque de sécurité identifié. SysAid a exprimé sa gratitude à l'équipe Defender de Microsoft pour le soutien qu'elle lui a apporté tout au long de sa réponse au problème.

 

Conclusion


La cyberattaque de
cyberattaque Lace Tempest souligne la nature persistante et évolutive des cybermenaces. Face à de tels défis, il est essentiel de prendre des mesures proactives, d'appliquer des correctifs en temps voulu et de collaborer étroitement avec des experts en cybersécurité. Les organisations doivent rester vigilantes et adopter une approche globale de la cybersécurité afin de protéger leurs systèmes et leurs données sensibles contre toute vulnérabilité de type "zero-day" dans les systèmes informatiques. À mesure que la technologie progresse, les menaces se multiplient. Il est donc impératif que les entreprises gardent une longueur d'avance dans la bataille permanente pour la sécurité numérique.

 

Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.

Résumé
Lace Tempest exploite la faille Zero-Day de SysAid
Nom de l'article
Lace Tempest exploite la faille Zero-Day de SysAid
Description
Découvrez des informations essentielles sur le traitement de la faille Zero-Day de SysAid exploitée par Lace Tempest. Mettez à jour maintenant et protégez votre organisation.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information