CVE-2023-47246: Lace Tempest利用SysAid零日漏洞

11月8日晚上，社交媒体上的一个帖子微软是Lace Tempest发布Cl0p勒索软件，恶意利用CVE-2023-47246很有可能导致勒索软件部署和数据泄露。强调一下有。。Lace Tempest在今年年初moveit transfer和GoAnywhere MFT恐吓攻击和那些威胁行为者一样。。

注：Rapid7正在调查至少一个客户环境中与该漏洞相关的侵犯证据。。

SysAid关于CVE-2023-47246的建议包括:这种脆弱Profero发现了性。。根据这个建议，攻击者“将包含WebShell和其他有效载荷的WAR档案上传到了SysAid Tomcat web服务Webroot”。。入侵后的行为包括部署MeshAgent远程管理工具和GraceWire恶意软件。在供应商的建议中，有关于攻击链的广泛细节，以及牢固的侵犯指标。。科技公司Elastic的员工也在11月8日晚上说，Elastic在10月30日的时候就发现了恶意利用。来报告。。

在SysAid的网站上，该公司有超过5,000个客户，其中包括: 在SysAid的客户页面上包括那些有logo的大公司。。shodan中特定的CSS文件或者把fabicon我搜索了一下，在互联网上公开的四分之一实例只有416个。。(注意，即使是“公开的”，这些实例也不一定是脆弱的)。

缓和方针

CVE-2023-47246是SysAid服务器版本23.3.36で都被修改了。。考虑到勒索软件和恐吓攻击的可能性，使用本地SysAid服务器的组织可以使用供应商提供的补丁紧急地应用它，如果可能的话，执行事件处理程序，确保服务器没有被发布在公共互联网上。。另外，SysAid的劝告我强烈建议你去检查环境，看看有没有什么可疑的迹象。。但是，根据这个建议，攻击者可能会通过清理日志和磁盘上的伪影来消除痕迹。。

妥协的指标

在他们的建议中，SysAid和国际奥委会有广泛的被观察到的攻击者的行动列表。。我们强烈建议组织使用其供应商的建议作为威胁狩猎的真实出发点。做:http://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification

Rapid7用于识别与零日漏洞相关的利用漏洞之后的活动我们准备了Velociraptor伪影:

• yara.process:针对Cobalt Strike和通过过程YARA观察到的恶意软件
• disk.ntfs:windows.ntfs.通过mft已知的盘IOC��目标。
• forensic.usn:通过USN杂志，已知的光盘
• evtx.defender:搜索Defender事件日志，寻找相关警报的证据
• evtx.networkioc:以防火墙、Sysmon、PowerShell日志中包含的网络IOC的已知字符串为目标

Rapid7的客户

insightvm および Nexpose をご利用のお客様は、本日（11月9日）のコンテンツリリースで提供される認証済み windows チェックにより、CVE-2023-47246 への暴露を評価することができます。

通过Rapid7广泛的检测规则库，使用insightidr和管理检测与响应的客户可以使用现有的检测覆盖范围。Rapid7建议在所有符合的主机上安装洞察Agent，以便可视化可疑过程并确保适当的检测范围。。以下是已引入检测的非全面列表，对与此零日漏洞相关的漏洞利用之后的操作发出警告:

• 攻击者的技巧- SpoolSV启动CMD或PowerShell
• 攻击者的手法-过程注入的可能性
• 攻击者的技巧- PowerShell下载克雷
• 攻击者工具- CobaltStrike PowerShell命令
• 可疑的网络连接- Cobalt Strike C2列表的目的地地址

更新信息

2023年11月9日识别零日漏洞为了补充Profero所做的调查而更新了。。微软检测到了在放任状态下的恶意使用。。

Rapid7已经更新，以补充我们正在调查至少一个客户环境中与该漏洞相关的侵权证据。。

※本博客是英语版博客"sisaid Zero-Day Vulnerability Exploited By Lace Tempest"的机器翻译版。。关于最新信息，请参照原文。。