CVE-2023-47246: analisi tecnica di una vulnerabilità 0-Day nel software SysAid

In data 08/11/2023, è stata identificata una vulnerabilità critica, registrata come CVE-2023-47246, all’interno del software di gestione dei servizi IT di SysAid, specificatamente nelle installazioni on-premise.
La recente scoperta della vulnerabilità critica identificata come CVE-2023-47246 nel software di gestione e supporto IT SysAid ha suscitato preoccupazione nella comunità cybersecurity. Questa vulnerabilità è stata attivamente sfruttata da Lace Tempest, un affiliato del ransomware noto per il dispiegamento del ransomware Cl0p.

Tutto quello che sappiamo sulla vulnerabilità

La CVE-2023-47246 è una vulnerabilità di tipo zero-day che colpisce tutte le installazioni di SysAid On-Prem con versioni precedenti alla 23.3.36.
Questo difetto di sicurezza non riguarda i clienti che utilizzano SysAid Cloud.

Gli aggressori che hanno sfruttato questa vulnerabilità sono stati identificati come il gruppo DEV-0950, noti anche come Lace Tempest, che sono conosciuti per la distribuzione del ransomware Cl0p. Hanno sfruttato questa vulnerabilità per accedere non autorizzato ai sistemi caricando un archivio WAR contenente un WebShell.

Descrizione della vulnerabilità

CVE-2023-47246 è una vulnerabilità di tipo path traversal che permette agli attaccanti di accedere in modo non autorizzato ai sistemi colpiti ed eseguire codice arbitrario. Gli aggressori hanno sfruttato questa falla per caricare un archivio WAR contenente un webshell e altri payload nel directory webroot del servizio web Tomcat di SysAid. Il webshell fornisce all’attaccante accesso e controllo non autorizzato sul sistema compromesso.

Successivamente, l’attaccante utilizza uno script PowerShell, distribuito tramite il webshell, per eseguire un loader di malware chiamato user.exe sull’host compromesso.

Implicazioni della vulnerabilità

L’exploit della vulnerabilità permette agli aggressori di iniettare il trojan GraceWire in vari processi (ad esempio, spoolsv.exe, msiexec.exe, svchost.exe) per facilitare attività come movimento laterale, furto di dati e implementazione di ransomware. Infine, gli attaccanti utilizzano un secondo script PowerShell per cancellare le prove della loro attività dai log del disco e del server SysAid on-prem.

Misure di mitigazione

SysAid ha rilasciato una patch (versione v23.3.36) che risolve CVE-2023-47246.
È essenziale per i clienti con server SysAid on-prem aggiornare immediatamente i loro sistemi. Inoltre, dovrebbero cercare segni di compromissione, come tentativi di accesso non autorizzati, caricamenti di file sospetti, e controllare i log di accesso per rilevare richieste POST sospette.

La scoperta e l’analisi di CVE-2023-47246 sottolineano l’importanza di una risposta rapida e di misure di sicurezza robuste nelle organizzazioni.
La patch rilasciata da SysAid è un passo cruciale per mitigare il rischio, ma la vigilanza continua è fondamentale per proteggere contro tali minacce.

Prevenzione vulnerabilità

La scoperta di vulnerabilità come CVE-2023-47246 mette in evidenza l’importanza cruciale del vulnerability assessment nelle aziende italiane. Questo processo non solo aiuta a identificare e mitigare le vulnerabilità note, ma è anche fondamentale nella prevenzione delle minacce zero-day. Attraverso un assessment regolare e approfondito, le aziende possono anticipare e prevenire attacchi, salvaguardando così i propri dati e infrastrutture. In un’epoca dove le minacce cyber evolvono rapidamente, il vulnerability assessment diventa uno strumento imprescindibile per mantenere un elevato livello di sicurezza e resilienza nel panorama digitale attuale.

Autore articolo
Gli ultimi articoli

Maurizio Funnone

Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.

Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.

Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.

A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.

Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.