Vulnerabilità su SysAid attivamente sfruttata in-the-wild
11/09/2023
PROTO: N231110
CERT Yoroi informa riguardo una serie di vulnerabilità critiche che affliggono la tecnologia SysAid.
SysAid Technologies (ex Ilient) è un'azienda internazionale fondata nel 2002 che sviluppa e fornisce software per la gestione dei servizi IT. SysAid Technologies è una società privata, fondata da Israel Lifshitz.
È stata individuata un'importante vulnerabilità zero-day nel popolare programma di gestione dei servizi IT (ITSM) SysAid On-Prem. Tramite questa vulnerabilità, che viene segnalata come CVE-2023-47246, gli aggressori potrebbero essere in grado di accedere ai computer interessati senza autorizzazione ed eseguire codice arbitrario.
A causa di una vulnerabilità di Path Traversal, gli attaccanti possono quindi caricare file dannosi sul servizio Web SysAid Tomcat. Questi file possono essere eseguiti una volta caricati, fornendo all'aggressore il controllo totale della macchina compromessa.
La vulnerabilità è stata sfruttata da un gruppo noto come DEV-0950 (aka Lace Tempest, Clop Ransomware group), come identificato dal team Microsoft Threat Intelligence. L'analisi del modus operandi sottolinea come sia stato caricato inizialmente un archivio .WAR contenente una WebShell e altri payload nella webroot del servizio web Tomcat di SysAid per prendere il controllo dell’intera sistema ed avere la possibilità di eseguire codice arbitrario specifico per proseguire nella kill chain. Nello specifico, viene colpita la directory: C:\Program Files\SysAidServer\tomcat\webapps\usersfiles\.
Una volta caricata la webshell, gli aggressori usano uno script PowerShell per eseguire un caricatore di malware denominato “user.exe” sull'host compromesso. Questo malware è stato utilizzato per installare il trojan GraceWire e MeshAgent remote admin tool a partire da uno dei seguenti processi:
- msiexec.exe,
- Spoolsv.exe,
- Svchost.exe.
Il powershell incaricato al deploy di malware, ha delle funzioni specifiche
- Elenca tutti i file presenti nella directory C:\ProgramFiles\SysAidServer\tomcat\webapps\usersfiles.
- Controlla tutti i processi in esecuzione alla ricerca di un processo che inizi con il nome "Sophos" e, se lo trova, esce.
- Se non vengono trovati processi corrispondenti, avvia il malware user.exe.
- Si ferma per un secondo e poi rimuove tutti i file utilizzati durante l'attacco, compreso il file usersfiles.war e tutti i file corrispondenti a C:\Program Files\SysAidServer\tomcat\webapps\usersfiles\user.*
Terminata l’esecuzione del codice, tramite webshell viene eseguito un comando powerhsell per il download e l’esecuzione di CobaltStrike.
Per l’eliminazione di tutti i file utilizzati, viene usato un secondo script che performa azioni specifiche:
- Rimane inattivo per 5 secondi per consentire all'exploit di completarsi completamente.
- Rimuove tutte le righe dei file di registro presenti nelle directory SysAidServer\root\WEB-INF\logs e SysAidServer\tomcat\logs che corrispondono al seguente pattern:
- userentry|getLogo.jsp|File LDAP|ldapSyms|usersfile|time=18686488731
Per mitigare efficacemente il rischio associato a questa vulnerabilità, SysAid ha rilasciato una patch, la versione 23.3.36. Il vendor consiglia alle organizzazioni di aggiornare immediatamente i propri sistemi SysAid a quest'ultima versione. Inoltre, sottolinea come sia fondamentale condurre una valutazione approfondita della compromissione per identificare eventuali segni di intrusione attraverso la sezione IOC e con le linee guida indicate:
- Cercare nella directory webroot di SysAid eventuali file non riconosciuti, in particolare file WAR, ZIP o JSP con timestamp diversi dal resto dei file di installazione di SysAid.
- Esaminare tutti i file JSP all'interno delle directory web per verificare la possibile presenza di codice dannoso. Controllare NTFS e le copie shadow per i file JSP eliminati di recente nelle directory di SysAidServer, se disponibili.
- Controllare i registri di esecuzione di PowerShell per identificare eventuali attività anomale di esecuzione di script sugli host interessati.
- Monitorare i processi mirati (spoolsv.exe, msiexec.exe, svchost.exe) per verificare la presenza di codice non autorizzato o di comportamenti insoliti.
- Verificare la presenza di connessioni di rete insolite, comportamenti imprevisti dei processi o utilizzo anomalo di CPU/memoria nei processi interessati.
A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index
Indicatori di Compromissione:
- CobaltStrike IP:
hxxp://179[.]60[.]150[.]34:80/a
- Hashes:
| Filename | Sha256 | Comment |
| user.exe | b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d | Malicious loader |
| Meshagent.exe | 2035a69bc847dbad3b169cc74eb43fc9e6a0b6e50f0bbad068722943a71a4cca | Meshagent.exe remote admin tool |
- IP Addresses
| IP | Comment |
| 81.19.138[.]52 | GraceWire Loader C2 |
| 45.182.189[.]100 | GraceWire Loader C2 |
| 179.60.150[.]34 | Cobalt Strike C2 |
| 45.155.37[.]105 | Meshagent remote admin tool C2 |
