MOVEit'i bir kenara bırakın, Clop fidye yazılımını kurumsal ağlara dağıtmak için yeni bir sıfır gün istismarı var. Bu kez aynı tehdit aktörleri, SysAid BT Destek yazılımının şirket içi dağıtımlarındaki bir kusurdan yararlanırken yakalandı.
Microsoft kusuru duyurdu2023 Kasım'da CVE-47246-8 altında takip edildi ve SysAid'in zaten bir yama yayınladığını ekledi. SysAid CTO'su Sasha Shapirov şunları söyledi: blog yazısı 2 Kasım'da şirketin bu güvenlik açığından haberdar edildiği gün yayınlandı ve bu durum acil bir soruşturma ve düzeltme çabasını tetikledi.
SysAid, sağlık hizmetleri, insan kaynakları, yüksek öğrenim ve üretim de dahil olmak üzere verilere duyarlı çeşitli sektörlerdeki kuruluşlar için BT yardım masası ve destek hizmeti otomasyonu sunar. Şirket, siber saldırının potansiyel veya tespit edilen kurbanlarının sayısı hakkında yorum yapma taleplerine hemen yanıt vermedi.
Microsoft'un Tehdit İstihbarat Ekibi, bu istismarın arkasındaki tehdit aktörünün, gasp kampanyaları için Clop fidye yazılımını dağıtmasıyla bilinen DEV-0950 adıyla da bilinen Lace Tempest olduğunu belirledi. Grup, aynı fidye yazılımı türünü MOVEit sıfır gün güvenlik açığı Yüzlerce kuruluşu tehlikeye atan bir dizi saldırıda.
"Soruşturma, SysAid şirket içi yazılımında kod yürütülmesine yol açan, önceden bilinmeyen bir yol geçiş güvenlik açığını tespit etti" diye açıkladı Shapirov. “Saldırgan, WebShell ve diğer yükleri içeren bir WAR arşivini SysAid Tomcat Web hizmetinin web köküne yükledi.
SysAid yöneticisi, SysAid'in şirket içi sürümlerini çalıştıran kurumsal ekiplerin olay müdahale taktik kitabını açmasını ve yamaları kullanılabilir oldukça güncel tutmasını önerdi. Gönderide ayrıca ayrıntılı uzlaşma göstergeleri (IoC'ler) de sunuldu.
"SysAid şirket içi sunucu kurulumu olan tüm müşterilerimizi, SysAid sistemlerinizin, belirlenen güvenlik açığını gideren ve aşağıda daha ayrıntılı olarak ele alınan göstergeleri aramak için ağınızın kapsamlı bir uzlaşma değerlendirmesini yürüten 23.3.36 sürümüne güncellendiğinden emin olmaya çağırıyoruz. ” diye ekledi Shapirov. "Herhangi bir göstergeyi tespit etmeniz durumunda derhal harekete geçin ve olaya müdahale protokollerinizi takip edin."
Şirket İçi Yamalama Sorunu
Viakoo Labs başkan yardımcısı John Gallagher'a göre, bu SysAid güvenlik açığının şirket içi örnekleri etkilemesi, birçok kuruluşta yama uygulamasını büyük olasılıkla geciktirecektir.
Gallagher, "Birçok kuruluş, BT tarafından yönetilmedikçe şirket içi dağıtımlardan kimin sorumlu olduğunun izini kaybediyor" diyor. "Kuruluşların, uygulamaya dayalı keşif de dahil olmak üzere eksiksiz bir varlık envanterine sahip olması gerekir."
İlgili maliyetler olarak MOVEit ihlali Milyarlara ulaşan bu yeni SysAid keşfi endişe vericidir ve kurumsal güvenlik ekiplerinin ortaya çıkan tehditlere hızlı bir şekilde yanıt vermesinin kritik ihtiyacını ortaya koymaktadır.
Ontinue güvenlik operasyonlarından sorumlu başkan yardımcısı Craig Jones, "SysAid güvenlik açığından kaynaklanan potansiyel hasar, istismarın ne kadar yaygın olduğu, yamanın ne kadar hızlı uygulandığı ve erişilen verilerin hassasiyeti gibi faktörlere bağlı olacaktır" dedi. "Clop grubunun MOVEit olayında görüldüğü gibi tarihsel taktikleri ve olası mali motivasyonları göz önüne alındığında, SysAid'in güvenlik açığı hızlı ve etkili bir şekilde azaltılmazsa önemli bir etki riski var."
Onapsis'in güvenlik araştırması direktörü Paul Laudansky, bir sonraki sıfır gün kampanyasına önceden hazırlanmak için güvenlik ekiplerinin ağlarında ne olduğunu netleştirmeleri ve etkili bir şekilde izlemeleri gerektiğini öne sürdü. Kendisi e-posta aracılığıyla yaptığı açıklamaya göre buna, yol geçişini tanımlamak için yapılandırılmış güvenlik duvarları, web kabuğu yürütmesinin ve katılımının izlenmesi ve daha fazlası da dahildir.
Laudansky, "Bu saldırı, uygun tehdit algılama yeteneklerinden, uçtan uca ekosistemlerini anlama ve haritalama becerisinden yoksun şirketler için büyük bir uyandırma çağrısı görevi görüyor" diye ekledi. "Kuruluşlar çevrelerini anlamalı ve uyarılara düzenli olarak ince ayar yapmalıdır."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/attacks-breaches/moveit-hackers-sysaid-zero-day-ransomware
