Vulnerabilità su SySAd attivamente sfruttata in-the-wild
2023-11-9 23:46:5 Author: yoroi.company(查看原文) 阅读量:6 收藏

11/09/2023

PROTO: N231110 

CERT Yoroi informa riguardo una serie di vulnerabilità critiche che affliggono la tecnologia SysAid. 

SysAid Technologies (ex Ilient) è un'azienda internazionale fondata nel 2002 che sviluppa e fornisce software per la gestione dei servizi IT. SysAid Technologies è una società privata, fondata da Israel Lifshitz. 

È stata individuata un'importante vulnerabilità zero-day nel popolare programma di gestione dei servizi IT (ITSM) SysAid On-Prem. Tramite questa vulnerabilità, che viene segnalata come CVE-2023-47246, gli aggressori potrebbero essere in grado di accedere ai computer interessati senza autorizzazione ed eseguire codice arbitrario. 

A causa di una vulnerabilità di Path Traversal, gli attaccanti possono quindi caricare file dannosi sul servizio Web SysAid Tomcat. Questi file possono essere eseguiti una volta caricati, fornendo all'aggressore il controllo totale della macchina compromessa.  

La vulnerabilità è stata sfruttata da un gruppo noto come DEV-0950 (aka Lace Tempest, Clop Ransomware group), come identificato dal team Microsoft Threat Intelligence. L'analisi del modus operandi sottolinea come sia stato caricato inizialmente un archivio .WAR contenente una WebShell e altri payload nella webroot del servizio web Tomcat di SysAid per prendere il controllo dell’intera sistema ed avere la possibilità di eseguire codice arbitrario specifico per proseguire nella kill chain. Nello specifico, viene colpita la directory: C:\Program Files\SysAidServer\tomcat\webapps\usersfiles\

Una volta caricata la webshell, gli aggressori usano uno script PowerShell per eseguire un caricatore di malware denominato “user.exe” sull'host compromesso. Questo malware è stato utilizzato per installare il trojan GraceWire e MeshAgent remote admin tool a partire da uno dei seguenti processi: 

  • msiexec.exe,  
  • Spoolsv.exe,  
  • Svchost.exe. 

Il powershell incaricato al deploy di malware, ha delle funzioni specifiche 

  • Elenca tutti i file presenti nella directory C:\ProgramFiles\SysAidServer\tomcat\webapps\usersfiles. 
  • Controlla tutti i processi in esecuzione alla ricerca di un processo che inizi con il nome "Sophos" e, se lo trova, esce
  • Se non vengono trovati processi corrispondenti, avvia il malware user.exe
  • Si ferma per un secondo e poi rimuove tutti i file utilizzati durante l'attacco, compreso il file usersfiles.war e tutti i file corrispondenti a C:\Program Files\SysAidServer\tomcat\webapps\usersfiles\user.* 

Terminata l’esecuzione del codice, tramite webshell viene eseguito un comando powerhsell per il download e l’esecuzione di CobaltStrike. 

Per l’eliminazione di tutti i file utilizzati, viene usato un secondo script che performa azioni specifiche: 

  • Rimane inattivo per 5 secondi per consentire all'exploit di completarsi completamente.  
  • Rimuove tutte le righe dei file di registro presenti nelle directory SysAidServer\root\WEB-INF\logs e SysAidServer\tomcat\logs che corrispondono al seguente pattern:  
  • userentry|getLogo.jsp|File LDAP|ldapSyms|usersfile|time=18686488731  

Per mitigare efficacemente il rischio associato a questa vulnerabilità, SysAid ha rilasciato una patch, la versione 23.3.36. Il vendor consiglia alle organizzazioni di aggiornare immediatamente i propri sistemi SysAid a quest'ultima versione. Inoltre, sottolinea come sia fondamentale condurre una valutazione approfondita della compromissione per identificare eventuali segni di intrusione attraverso la sezione IOC e con le linee guida indicate:  

  • Cercare nella directory webroot di SysAid eventuali file non riconosciuti, in particolare file WAR, ZIP o JSP con timestamp diversi dal resto dei file di installazione di SysAid. 
  • Esaminare tutti i file JSP all'interno delle directory web per verificare la possibile presenza di codice dannoso. Controllare NTFS e le copie shadow per i file JSP eliminati di recente nelle directory di SysAidServer, se disponibili. 
  • Controllare i registri di esecuzione di PowerShell per identificare eventuali attività anomale di esecuzione di script sugli host interessati. 
  • Monitorare i processi mirati (spoolsv.exe, msiexec.exe, svchost.exe) per verificare la presenza di codice non autorizzato o di comportamenti insoliti.  
  • Verificare la presenza di connessioni di rete insolite, comportamenti imprevisti dei processi o utilizzo anomalo di CPU/memoria nei processi interessati. 

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index 

Indicatori di Compromissione: 

  • CobaltStrike IP:  
    hxxp://179[.]60[.]150[.]34:80/a 
     
  • Hashes: 
Filename Sha256 Comment 
user.exe b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d Malicious loader 
Meshagent.exe 2035a69bc847dbad3b169cc74eb43fc9e6a0b6e50f0bbad068722943a71a4cca Meshagent.exe remote admin tool 
  • IP Addresses 
IP Comment 
81.19.138[.]52 GraceWire Loader C2 
45.182.189[.]100 GraceWire Loader C2 
179.60.150[.]34 Cobalt Strike C2 
45.155.37[.]105 Meshagent remote admin tool C2 

Riferimenti Esterni


文章来源: https://yoroi.company/warning/vulnerabilita-su-sysad-attivamente-sfruttata-in-the-wild/
如有侵权请联系:admin#unsafe.sh