SysAid y Microsoft se unen para resolver la reciente vulnerabilidad que ha puesto en riesgo a diversas organizaciones.

El panorama de ciberamenazas se ha intensificado con el descubrimiento de una nueva vulnerabilidad en el software de soporte IT de SysAid. En esta ocasión, el mismo grupo de atacantes que hizo uso de una falla en MOVEit para desplegar Cl0p ransomware ha aprovechado un defecto en despliegues en las instalaciones del software SysAid IT Support.

Microsoft anunció la vulnerabilidad, identificada como CVE-2023-47246, el 8 de noviembre, y SysAid ha lanzado un parche ya para resolverlo. Sasha Shapirov, CTO de SysAid, explicó en una publicación el mismo día que la compañía fue notificada de la vulnerabilidad el 2 de noviembre, iniciando una investigación y poniendose a trabajar para resolverlo.

SysAid proporciona ayuda de IT y automatización de servicios de soporte para organizaciones en varios sectores sensibles a los datos, como la salud, recursos humanos, educación superior y manufactura. La empresa aún no ha respondido a solicitudes de comentarios acerca del número de víctimas potenciales o identificadas de ciberataque.

El equipo de Inteligencia de Amenazas de Microsoft determinó que el actor detrás del exploit fue Lace Tempest, también conocido como DEV-0950, famoso por desplegar Cl0p ransomware en sus campañas de extorsión. El grupo utilizó el mismo ransomware en el caso de la vulnerabilidad zero-day de MOVEit, afectando a cientos de organizaciones. El ransomware Clop es conocido por explotar vulnerabilidades zero-day en software ampliamente utilizado. Ejemplos recientes incluyen MOVEit Transfer, GoAnywhere MFT y Accellion FTA.

Detalles del ataque

SysAid publicó un informe el miércoles revelando que CVE-2023-47246 es una vulnerabilidad de recorrido de ruta que conduce a la ejecución de código no autorizado. El actor de amenazas aprovechó la brecha zero-day para cargar en el webroot del servicio web Tomcat de SysAid un archivo WAR (Web Application Resource) que contenía un webshell.

Esto permitió a los actores de amenazas ejecutar scripts de PowerShell adicionales y cargar el malware GraceWire, que fue inyectado en un proceso legítimo (por ejemplo, spoolsv.exe, msiexec.exe, svchost.exe).

El informe señala que el cargador de malware (‘user.exe’) verifica los procesos en ejecución para asegurarse de que los productos de seguridad de Sophos no estén presentes en el sistema comprometido.

Actualización de seguridad disponible

Después de enterarse de la vulnerabilidad, SysAid trabajó rápidamente para desarrollar un parche para CVE-2023-47246, que está disponible en una actualización de software. Se recomienda encarecidamente a todos los usuarios de SysAid cambiar a la versión 23.3.36 o posterior.

Los administradores de sistemas también deben verificar los servidores en busca de signos de compromiso siguiendo los pasos a continuación.