CVE-2023-47246:Lace Tempest によるSysAid のゼロデイ脆弱性の悪用

Rapid7 MDR

Rapid7 Managed Detection and Response

Rapid7 MDRの詳細
About Blog:CVE-2023-47246:Lace Tempest によるSysAidゼロデイ脆弱性の悪用

CVE-2023-47246: Lace Tempest によるSysAidゼロデイ脆弱性の悪用

最終更新 Thu, 09 Nov 2023 20:31:16 GMT

2023年11月8日、ITサービス管理会社のSysAidは、オンプレミスのSysAidサーバーに影響を及ぼすゼロデイパストラバーサル脆弱性CVE-2023-47426を公表しました。マイクロソフトの脅威インテリジェンスチームによると、この脆弱性はDEV-0950(Lace Tempest)によって "限定的な攻撃 "で悪用されているといいます。

11月8日夜に公開されたソーシャルメディアのスレッドで、Microsoftは、Lace TempestがCl0pランサムウェアを配布しており、CVE-2023-47246を悪用するとランサムウェアの展開やデータの流出が発生する可能性が高いことを強調しています。Lace Tempestは、今年初めにMOVEit TransferとGoAnywhere MFTの恐喝攻撃を行った脅威行為者と同じです。

注:Rapid7は、少なくとも1つの顧客環境でこの脆弱性に関連する侵害の証拠を調査しています。

SysAidのCVE-2023-47246に関するアドバイザリには、この脆弱性を発見したProferoによる調査結果が記載されています。このアドバイザリによると、攻撃者は "WebShellおよびその他のペイロードを含むWARアーカイブをSysAid TomcatウェブサービスのWebrootにアップロードした "とのことです。侵入後の行動には、MeshAgentリモート管理ツールとGraceWireマルウェアの展開が含まれます。ベンダーのアドバイザリには、侵害の強固な指標とともに、攻撃チェーンに関する広範な詳細が記載されています。テクノロジー企業Elasticの従業員も11月8日夜、Elasticが10月30日の時点で悪用を確認していたと報告しています。

SysAid のウェブサイトでは、同社の顧客数は5,000社以上であり、その中には SysAid の顧客ページにロゴが掲載されている大企業も含まれているとしています。Shodanで特定のCSSファイルまたはファビコンを検索したところ、インターネット上に公開されているシスエイドのインスタンスは416件しかありませんでした。(「公開されている」といっても、これらのインスタンスが必ずしも脆弱であるとは限らないことに注意)。

緩和ガイダンス

CVE-2023-47246は、SysAidサーバのバージョン23.3.36で修正されています。ランサムウェアや恐喝攻撃の可能性を考慮すると、オンプレミスの SysAid サーバを使用している組織は、ベンダーが提供するパッチを緊急に適用し、可能であればインシデント対応手順を実行し、サーバが公共のインターネットに公開されていないことを確認する必要があります。また、SysAidの勧告にある侵害の指標を確認し、不審な動きがないか環境を調査することを強く推奨します。ただし、同勧告によると、攻撃者はログやディスク上のアーティファクトをクリーンアップすることで痕跡を消す可能性があるとのことです。

妥協の指標

SysAidは、彼らの勧告の中でIOCと観察された攻撃者の行動の広範なリストを持っています。ここでそれを再現するよりも、私たちは組織が脅威ハンティングのための真実の出発点として、そのベンダーのアドバイザリーを使用することを強くお勧めします: https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification

Rapid7は、このゼロデイ脆弱性に関連するエクスプロイト後の活動を特定するためのVelociraptorアーティファクトを用意しています:

  • Yara.Process:プロセスYARA経由で観測されたマルウェアとCobalt Strikeを狙う
  • Disk.Ntfs:Windows.ntfs.mft経由で既知のディスクIOCをターゲットにする。
  • Forensic.Usn:USNジャーナル経由で既知のディスクIOCを狙う
  • Evtx.Defender:Defender のイベントログを検索し、関連するアラートの証拠を探す
  • Evtx.NetworkIOC:ファイアウォール、Sysmon、PowerShellのログに含まれるネットワークIOCの既知の文字列をターゲットにする

Rapid7のお客様

InsightVM および Nexpose をご利用のお客様は、本日(11月9日)のコンテンツリリースで提供される認証済み Windows チェックにより、CVE-2023-47246 への暴露を評価することができます。

InsightIDR および Managed Detection and Response をご利用のお客様は、Rapid7 の広範な検出ルールライブラリにより、既存の検出カバレッジを利用できます。Rapid7は、疑わしいプロセスを可視化し、適切な検出範囲を確保するために、該当するすべてのホストにInsight Agentをインストールすることを推奨します。以下は、このゼロデイ脆弱性に関連するエクスプロイト後の動作について警告を発する、導入されている検出の非網羅的なリストです:

  • 攻撃者のテクニック - SpoolSVがCMDまたはPowerShellを起動する
  • 攻撃者の手口 - プロセス・インジェクションの可能性
  • 攻撃者のテクニック - PowerShellダウンロードクレードル
  • 攻撃者ツール - CobaltStrike PowerShell コマンド
  • 疑わしいネットワーク接続 - Cobalt Strike C2 リストの宛先アドレス

更新情報

2023年11月9日ゼロデイ脆弱性を特定した調査は Profero が実施したことを追記するために更新しました。マイクロソフトは野放し状態での悪用を検知したとされています。

Rapid7は、少なくとも1つの顧客環境でこの脆弱性に関連する侵害の証拠を調査中であることを追記するために更新されました。

 

 

※本ブログは英語版ブログ "CVE-2023-47246: SysAid Zero-Day Vulnerability Exploited By Lace Tempest"の機械翻訳版です。最新情報等につきましては、原文をご参照ください。