15/11/2024
IT-Connect » Actualités » Actu Cybersécurité » Une faille zero-day dans SysAid est exploitée au sein d’attaques avec le ransomware Clop !

Correctif SysAid - CVE-2023-47246 - Ransomware Clop
Actu Cybersécurité

Une faille zero-day dans SysAid est exploitée au sein d’attaques avec le ransomware Clop !

Florian BURNEL 0 commentaire

Un gang de cybercriminels exploite une nouvelle faille de sécurité zero-day dans la solution SysAid, leur permettant d'accéder aux serveurs de l'entreprise dans le but de chiffrer et d'exfiltrer les données avec le ransomware Clop. Faisons le point sur cette menace.

Pour ceux qui ne connaissent pas SysAid, il s'agit d'une solution de type ITSM, c'est-à-dire une solution de gestion de service informatique, au même titre que GLPI.

Le 2 novembre 2023, l'équipe Microsoft Threat Intelligence a fait la découverte de cette campagne d'attaques initiée par un groupe de cybercriminels nommé Lace Tempest. En exploitant cette vulnérabilité désormais associée à la référence CVE-2023-47246, les pirates parviennent à compromettre des serveurs dans le but de déployer le ransomware Clop.

D'après SysAid, il s'agit d'une vulnérabilité de type "path transversal" qui permet à l'attaquant d'exécuter du code malveillant sur le serveur. Ainsi, Lace Tempest a exploité cette faille zero-day pour télécharger une archive WAR (Web Application Resource) contenant un webshell, à la racine du serveur Tomcat (dans la "webroot"). Ceci permet ensuite d'exécuter des scripts PowerShell supplémentaires pour charger plusieurs souches malveillantes et divers outils (notamment GraceWire et Cobalt Strike).

Le ransomware Clop est particulièrement redoutable et ce gang est connu pour exploiter des failles de sécurité zero-day au sein de solutions populaires. Nous avions eu un excellent exemple avec MOVEit Transfer, et ceci se confirme aujourd'hui avec SysAid.

SysAid : un correctif de sécurité est disponible !

SysAid a déployé un correctif en urgence pour corriger la faille de sécurité CVE-2023-47246. Pour vous protéger, vous devez installer la version SysAid 23.3.36 (ou supérieur), comme l'indique SysAid dans son bulletin d'alerte.

Au-delà d'installer ce correctif, vous pouvez effectuer un ensemble d'actions pour détecter un éventuel signe de compromission sur votre serveur. Par exemple, vous devez vérifiez la racine web Tomcat du serveur SysAid à la recherche de fichiers inhabituels et suspects, notamment des fichiers WAR, ZIP ou JSP dont l'horodatage est anormal. Par ailleurs, regardez s'il y a des flux sortants à destinations des serveurs C2 des cybercriminels dont voici les adresses IP :

  • 81.19.138[.]52
  • 45.182.189[.]100
  • 179.60.150[.]34
  • 45.155.37[.]105

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Cybersécurité - 400 000 dollars volés en exploitant Apple Store

400 000 dollars volés par des pirates en exploitant l’Apple Store

Florian BURNEL 0

Microsoft Exchange : les pirates volent des identifiants avec un module IIS

Florian BURNEL 0
Compte e-mails compromis - 2 euros

Pour 2 euros, vous pouvez vous offrir l’accès au compte de messagerie d’une entreprise !

Florian BURNEL 2

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.