MOVEit’i bir kenara bırakın, Clop fidye yazılımını kurumsal ağlara dağıtmak için yeni bir sıfır gün istismarı var. Bu kez aynı tehdit aktörleri, SysAid BT Destek yazılımının şirket içi dağıtımlarındaki bir kusurdan yararlanırken yakalandı.
Microsoft kusuru duyurdu8 Kasım’da CVE-2023-47246 altında takip edildi ve SysAid’in zaten bir yama yayınladığını ekledi. SysAid CTO’su Sasha Shapirov şunları söyledi: Blog yazısı 2 Kasım’da şirketin bu güvenlik açığından haberdar edildiği gün yayınlandı ve bu durum acil bir soruşturma ve düzeltme çabasını tetikledi.
SysAid, sağlık hizmetleri, insan kaynakları, yüksek öğrenim ve üretim de dahil olmak üzere verilere duyarlı çeşitli sektörlerdeki kuruluşlar için BT yardım masası ve destek hizmeti otomasyonu sunar. Şirket, siber saldırının potansiyel veya tespit edilen kurbanlarının sayısı hakkında yorum yapma taleplerine hemen yanıt vermedi.
Microsoft’un Tehdit İstihbarat Ekibi, bu istismarın arkasındaki tehdit aktörünün, gasp kampanyaları için Clop fidye yazılımını dağıtmasıyla bilinen DEV-0950 adıyla da bilinen Lace Tempest olduğunu belirledi. Grup, yüzlerce kuruluşu tehlikeye atan bir dizi saldırıda MOVEit’in sıfır gün güvenlik açığına karşı aynı fidye yazılımı türünü kullandı.
“Shapirov, soruşturmanın, SysAid şirket içi yazılımında kod yürütülmesine yol açan, önceden bilinmeyen bir yol geçiş güvenlik açığını tespit ettiğini belirtti.Saldırgan, WebShell ve diğer yükleri içeren bir WAR arşivini SysAid Tomcat Web hizmetinin web köküne yükledi.”
SysAid yöneticisi, SysAid’in şirket içi sürümlerini çalıştıran kurumsal ekiplerin olay müdahale taktik kitabını açmasını ve yamaları kullanılabilir oldukça güncel tutmasını önerdi. Gönderide ayrıca ayrıntılı uzlaşma göstergeleri (IoC’ler) de sunuldu.
“SysAid şirket içi sunucu kurulumu olan tüm müşterilerimizi, SysAid sistemlerinizin, belirlenen güvenlik açığını gideren ve aşağıda daha ayrıntılı olarak ele alınan göstergeleri aramak için ağınızın kapsamlı bir uzlaşma değerlendirmesini yürüten 23.3.36 sürümüne güncellendiğinden emin olmaya çağırıyoruz. ” diye ekledi Shapirov. “Herhangi bir gösterge belirlemeniz durumunda derhal harekete geçin ve olay-müdahale protokollerinizi takip edin.”
Şirket İçi Yamalama Sorunu
Viakoo Labs başkan yardımcısı John Gallagher’a göre, bu SysAid güvenlik açığının şirket içi örnekleri etkilemesi, birçok kuruluşta yama uygulamasını büyük olasılıkla geciktirecektir.
Gallagher, “Birçok kuruluş, BT tarafından yönetilmedikçe şirket içi dağıtımlardan kimin sorumlu olduğunun izini kaybediyor” diyor. “Kuruluşların, uygulama tabanlı keşif de dahil olmak üzere eksiksiz bir varlık envanterine sahip olması gerekir.”
MOVEit ihlaliyle ilgili maliyetler milyarlara ulaşırken, bu yeni SysAid keşfi endişe vericidir ve kurumsal güvenlik ekiplerinin ortaya çıkan tehditlere hızla yanıt verme konusundaki kritik ihtiyacını ortaya koymaktadır.
Ontinue güvenlik operasyonlarından sorumlu başkan yardımcısı Craig Jones, “SysAid güvenlik açığından kaynaklanan potansiyel hasar, istismarın ne kadar yaygın olduğu, yamanın ne kadar hızlı uygulandığı ve erişilen verilerin hassasiyeti gibi faktörlere bağlı olacaktır” dedi. “Clop grubunun MOVEit olayında görüldüğü gibi tarihsel taktikleri ve olası mali motivasyonları göz önüne alındığında, SysAid’in güvenlik açığı hızlı ve etkili bir şekilde azaltılmazsa önemli bir etki riski var.”
Onapsis’in güvenlik araştırması direktörü Paul Laudansky, bir sonraki sıfır gün kampanyasına önceden hazırlanmak için güvenlik ekiplerinin ağlarında ne olduğunu netleştirmeleri ve etkili bir şekilde izlemeleri gerektiğini öne sürdü. Kendisi e-posta aracılığıyla yaptığı açıklamaya göre buna, yol geçişini tanımlamak için yapılandırılmış güvenlik duvarları, web kabuğu yürütmesinin ve katılımının izlenmesi ve daha fazlası da dahildir.
Laudansky, “Bu saldırı, uygun tehdit tespit yeteneklerinden, uçtan uca ekosistemlerini anlama ve haritalama becerisinden yoksun şirketler için büyük bir uyandırma çağrısı görevi görüyor” diye ekledi. “Kuruluşlar çevrelerini anlamalı ve uyarılara düzenli olarak ince ayar yapmalıdır.”