يحتوي برنامج إدارة النظام الخاص بـ SysAid على “ثغرة أمنية يتم استغلالها بشكل نشط لنشر برنامج الفدية Clop”، وفقًا لـ SiliconAngle:

وجاء هذا التحذير من فريق استخبارات التهديدات التابع لشركة Microsoft، والذي كتب على X أنها اكتشفت استغلال ثغرة يوم الصفر في برنامج دعم تكنولوجيا المعلومات الخاص بـ SysAid والتي يتم استغلالها من قبل عصابة برامج الفدية Lace Tempest.

ظهرت Lace Tempest لأول مرة في وقت سابق من هذا العام من موقعها الهجمات التي تنطوي على نقل MOVEit و GoAnywhere MFT. وقد تميزت هذه المجموعة بأساليب هجومها المتطورة، حيث غالبًا ما تستغل ثغرات يوم الصفر للتسلل إلى أنظمة المؤسسات لنشر برامج الفدية وتسلل البيانات الحساسة…

في مشاركة مدونةوقال SysAid إن الثغرة الأمنية، التي تم تتبعها باسم CVE-2023-47246، تم اكتشافها لأول مرة في 2 نوفمبر وهي عبارة عن اجتياز المسار تؤدي الثغرة الأمنية إلى تنفيذ تعليمات برمجية داخل برنامج SysAid المحلي… “نظرًا لحجم وتأثير اختراق MOVEit، والذي كان يعتبر أحد أكبر الاختراقات في التاريخ الحديث، فإن احتمال وصول ثغرة SysAid إلى مستويات مماثلة من التعطيل هو أمر بالغ الأهمية”. وقال كريج جونز، نائب رئيس العمليات الأمنية في شركة Ontinue Inc.، التي تقدم خدمات الكشف والاستجابة المُدارة، لـSiliconANGLE: “لا يمكن تصوره، على الرغم من أن هناك عدة عوامل قد تؤثر على هذه النتيجة”. وأوضح جونز أن “اختراق MOVEit، الذي استغلته مجموعة Clop Ransomware، أثر على أكثر من 1000 منظمة وأكثر من 60 مليون فرد”. “بالمقارنة، تطالب SysAid بأكثر من 5000 عميل في مختلف الصناعات على مستوى العالم. ويعتمد الضرر المحتمل الناجم عن ثغرة SysAid على عوامل مثل مدى انتشار الاستغلال، ومدى سرعة تطبيق التصحيح وحساسية البيانات التي يتم الوصول إليها.”
مساعد النظام مشاركة مدونة يؤكد ثغرة اليوم صفر، ويقول إنهم بدأوا “التواصل بشكل استباقي مع عملائنا المحليين للتأكد من أنهم قادرون على تنفيذ حل التخفيف الذي حددناه…”

“نحث جميع العملاء الذين لديهم عمليات تثبيت لخادم SysAid المحلي على التأكد من أن أنظمة SysAid لديك تم التحديث إلى الإصدار 23.3.36، والذي يعالج الثغرة الأمنية التي تم تحديدها، وإجراء تقييم شامل للتسوية لشبكتك…”
قام المهاجم بتحميل أرشيف WAR يحتوي على WebShell وحمولات أخرى إلى webroot لخدمة الويب SysAid Tomcat [which] تزويد المهاجم بوصول غير مصرح به والتحكم في النظام المتأثر. وبعد ذلك، استخدم المهاجم برنامج PowerShell النصي، الذي تم نشره من خلال WebShell، لتنفيذ أداة تحميل البرامج الضارة المسماة user.exe على المضيف المخترق، والذي تم استخدامه لتحميل حصان طروادة GraceWire. ..

بعد هذا الوصول الأولي ونشر البرامج الضارة، استخدم المهاجم برنامج PowerShell النصي الثاني لمسح الأدلة المرتبطة بإجراءات المهاجم من القرص وسجلات الويب لخادم SysAid المحلي… ونظرًا لخطورة التهديد الذي يمثله، فإننا نوصي بشدة باتخاذ خطوات فورية وفقًا لقواعد اللعبة الخاصة بالاستجابة للحوادث وتثبيت أي تصحيحات عندما تصبح متاحة.