Microsoft, SysAid zero-day açığına yönelik saldırılar yapıldığını ve bu saldırıların Lace Tempest grubu tarafından organize edildiğini belirtti.
Lace Tempest, Gracewire yazılımı (FlawedGrace olarak da bilinir) için bir loader üzerinde komut göndererk SysAid yazılımındaki zafiyeti istismar etti. Bu yazılım, veri hırsızlığı ve fidye yazılımı gibi istismarların yapılmasını sağladı.
SysAid güvenlik ekibi ise 2 Kasım tarihinde on-premise tarafta bir zafiyeti fark ettiğini bildirdi. Yazılım firması bu konuyu araştırmak için siber güvenlik firması Profero ile anlaştı. Profero, yazılımın bir zero-day olduğunu belirledi. Araştırma, SysAid on-prem yazılımı içinde RCE’e yol açan daha önce bilinmeyen bir dosya açığı tespit etti.
Detaylara baktığımızda, saldırgan SysAid Tomcat web hizmetinin web root dizinine bir webshell ve diğer yüklemeler içeren bir WAR arşivi yüklüyor. Webshell, saldırgana sistem üzerinde yetkisiz erişim ve kontrol sağlıyor. Saldırgan daha sonra webshell aracılığıyla powershell komut dosyasını kullanarak GraceWire truva atını yüklemek için user.exe adlı loader’ı çalıştırıyor.
SysAid, zafiyeti 8 Kasım’da yayımlanan 23.3.36 sürümü ile kapattı.
- SysAid 23.3.36 sürümüne güncellendiğinden emin olun.
- SysAid sunucunuzun etkilenip etkilenmediğini kontrol etmek için kapsamlı bir güvenlik değerlendirmesi yapın.
- SysAid sunucunuza tam erişime sahip birine ait olabilecek herhangi bir kimlik bilgisini veya diğer bilgileri gözden geçirin ve şüpheli faaliyetler için logları kontrol edin.
Kaynak: securityaffairs.com