您当前位置:资讯中心 >安全 >浏览文章

警惕!SysAid IT 曝出零日漏洞,需尽快安装补丁

来源:CTO 日期:2023/11/10 11:36:44 阅读量:(0)

根据微软的最新发现,以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织,近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 PaperCut 服务器中的零日漏洞实施过其他攻击。

此次的漏洞被追踪为 CVE-2023-47246,涉及一个路径遍历漏洞,可能导致黑客在内部安装中执行恶意代码。不过SysAid 已在 23.3.36 版软件中修补了这个漏洞。

微软方面表示:Lace Tempest 黑客组织在利用了该漏洞后,会通过 SysAid 软件发出命令,从而为 Gracewire 恶意软件提供恶意软件加载器。然后通过人为操作的恶意活动,比如横向移动、数据窃取和勒索软件部署等等达到进一步的攻击目的。

据 SysAid 称一经发现有黑客将包含网络外壳和其他有效载荷的 WAR 存档上传到了 SysAid Tomcat 网络服务的 webroot 中。而Web Shell 除了为威胁者提供后门访问被攻击主机的权限外,还用于发送 PowerShell 脚本,这个脚本主要是为了执行加载器,再反过来加载 Gracewire。同时,攻击者还部署了第二个 PowerShell 脚本,用于在部署恶意有效载荷后清除利用证据。

而攻击链的特点是使用 MeshCentral 代理和 PowerShell 下载并运行 Cobalt Strike,这是一个合法的后剥削框架。

所以为了更大程度的降低勒索软件攻击的伤害,使用 SysAid 的企业最好尽快安装补丁。同时要注意在打补丁之前扫描环境,看看是否有被利用的迹象。

关键字:
声明:我公司网站部分信息和资讯来自于网络,若涉及版权相关问题请致电(63937922)或在线提交留言告知,我们会第一时间屏蔽删除。
有价值
0% (0)
无价值
0% (10)

分享转发:

发表评论请先登录后发表评论。愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。