CLOP Fidye Yazılımı Grubu, SysAid Zero Day Açığını Kullandı, Acil Güncelleme!

Microsoft, SysAid zero-day açığına yönelik saldırılar yapıldığını ve bu saldırıların Lace Tempest grubu tarafından organize edildiğini belirtti.

Lace Tempest, Gracewire yazılımı (FlawedGrace olarak da bilinir) için bir loader üzerinde komut göndererk SysAid yazılımındaki zafiyeti istismar etti. Bu yazılım, veri hırsızlığı ve fidye yazılımı gibi istismarların yapılmasını sağladı.

SysAid güvenlik ekibi ise 2 Kasım tarihinde on-premise tarafta bir zafiyeti fark ettiğini bildirdi. Yazılım firması bu konuyu araştırmak için siber güvenlik firması Profero ile anlaştı. Profero, yazılımın bir zero-day olduğunu belirledi. Araştırma, SysAid on-prem yazılımı içinde RCE’e yol açan daha önce bilinmeyen bir dosya açığı tespit etti.

Detaylara baktığımızda, saldırgan SysAid Tomcat web hizmetinin web root dizinine bir webshell ve diğer yüklemeler içeren bir WAR arşivi yüklüyor. Webshell, saldırgana sistem üzerinde yetkisiz erişim ve kontrol sağlıyor. Saldırgan daha sonra webshell aracılığıyla powershell komut dosyasını kullanarak GraceWire truva atını yüklemek için user.exe adlı loader’ı çalıştırıyor.

SysAid, zafiyeti 8 Kasım’da yayımlanan 23.3.36 sürümü ile kapattı.

Kaynak: securityaffairs.com

Exit mobile version