駭客組織Lace Tempest著手攻擊SysAid零時差漏洞

專門開發IT服務管理軟體的SysAid周三（11/8）呼籲客戶應儘速升級至SysAid 23.3.36，以修補已經遭到駭客攻擊的CVE-2023-47246零時差漏洞。微軟指出，駭客組織Lace Tempest已針對該漏洞展開攻擊，很可能是為了部署Clop勒索軟體。

SysAid說明，該公司的安全團隊是在11月2日注意到此一潛在的安全漏洞，緊接著展開的調查則顯示，這是一個位於SysAid就地部署軟體的路徑穿越（Path Traversal）漏洞，可能導致程式執行，而且已遭到駭客利用。本周釋出的修補程式不僅修復了CVE-2023-47246，也會針對用戶的網路進行全面的危害評估，以尋找相關的入侵指標。

Lace Tempest利用該漏洞上傳了含有一個WebShell與其它酬載的WAR檔案，至SysAid Tomcat網頁服務的根目錄中，該WebShell讓未經授權的駭客得以存取及控制目標系統，再利用一個PowerShell來執行惡意程式載入工具，繼之載入了木馬程式GraceWire。成功讓GraceWire進駐系統之後，駭客即可於受害系統上展開橫向移動，竊取資料並部署勒索軟體。此外，駭客還透過另一個PowerShell來抹去他們於系統上的攻擊痕跡。

此一安全漏洞主要影響就地部署的SysAid On-Prem伺服器，除了督促用戶儘快升級到SysAid 23.3.36之外，SysAid也建議用戶展開徹底的危害評估，以及檢查任何具備最高權限的憑證是否出現可疑活動。

微軟則提醒，除了修補之外，SysAid用戶也應該要檢查系統是否在修補之前便曾遭駭，以執行適當的清除行動。