Een groep cybercriminelen buit een nieuwe zero-day kwetsbaarheid in on-premises implementaties van SysAid software voor supportafdelingen uit voor de verspreiding van de ransomware Clop. Een update die het beveiligingslek dicht is inmiddels beschikbaar.

Het Microsoft Threat Intelligence team waarschuwt voor de zero-day kwetsbaarheid, die is geïdentificeerd als CVE-2023-47246. Lace Tempest (DEV-0950), een threat actor die zich bezig houdt met de verspreiding van de Clop-ransomware, buit de kwetsbaarheid naar verluid actief uit.

Update beschikbaar

SysAid bevestigt de zero-day kwetsbaarheid in een blogpost. Het meldt op 2 november op de hoogte te zijn gesteld, waarna het bedrijf aan de slag is gegaan met het dichten van het lek. Een update is inmiddels beschikbaar. SysAid adviseert klanten met een SysAid on-premises serverinstallatie hun systemen te updaten naar versie 23.3.36. Daarnaast adviseert SysAid een uitgebreide netwerkanalyse uit te voeren en te zoeken naar Indicators of Compromise. Deze deelt het bedrijf in de blogpost.

Bij de aanval uploadt de aanvaller een WAR-archief met een WebShell en andere payloads naar de webroot van een SysAid Tomcat webservice. De WebShell geeft de aanvaller ongeautoriseerde toegang en controle over het getroffen systeem. Vervolgens laadt de aanvaller een PowerShell-script via de WebShell, en voert een malware loader genaamd user.exe uit op de besmette host. Deze laadt op zijn beurt de trojan GraceWire, die wordt geïnjecteerd in de processen spoolsv.exe, msiexec.exe en svhost.exe. Vervolgens zetten de aanvallers een tweede PowerShell-script in waarmee zij bewijsmateriaal van hun actie verwijderen uit logbestanden.