SysAid

พบช่องโหว่ Zero-Day บนซอฟต์แวร์ SysAid ถูกโจมตีโดยกลุ่ม Ransomware 

By admin News

องค์กรที่ใช้ซอฟต์แวร์การบริการจัดการเทคโนโลยีสารสนเทศ (ITSM) ของ SysAid
ได้รับการแจ้งเตือนเกี่ยวกับช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีโดยกลุ่ม Ransomware
โดยการใช้ประโยชน์จากช่องโหว่ Zero-Day ที่ติดตามภายใต้รหัส CVE-2023-47246
ซึ่งถูกพบครั้งแรกโดย Threat Intelligence ของ Microsoft
และรีบแจ้งให้ SysAid ทราบเกี่ยวกับช่องโหว่และการโจมตีที่เกิดขึ้น 

บริษัทตรวจสอบพบว่าซอฟต์แวร์ Sysaid ภายในองค์กรได้รับผลกระทบจากช่องโหว่นี้ ซึ่งได้กล่าวว่า   
เป็นช่องโหว่บนซอฟต์แวร์ SysAid ที่ทำให้ผู้ไม่ประสงค์ดีสามารถส่งข้อมูลที่ไม่ได้รับอนุญาต เข้าสู่ระบบ                   และสามารถใช้งาน Execute Code ได้โดยไม่ได้รับอนุญาต และเมื่อ SysAid ทราบเรื่องเกี่ยวกับช่องโหว่               Zero-Day เมื่อวันที่ 2 พฤศจิกายน จึงได้ทำการเผยแพร่เวอร์ชัน 23.3.36 วันที่ 8 พฤศจิกายน เพื่อแก้ไขช่องโหว่นี้ บรษัทยังเผยแพร่ข้อมูลทางเทคนิคเกี่ยวกับการโจมตี และให้คำแนะนำเกี่ยวกับขั้นตอนที่ลูกค้าอาจได้รับผลกระทบ 

ข้อมูลจาก Microsoft กล่าวว่า CVE-2023-47246 ได้รับการโจมตีจากผู้ไม่ประสงค์ดีที่ติดตาม                    
เป็น Lace Tempest หรือเรียกอีกอย่างว่า DEV-0950 ที่ลักษณะการโจมตีที่คล้ายกับกลุ่ม FIN11 และ TA505  
ด้วยการใช้ Ransomware ชื่อ Cl0p 

Microsoft กล่าวว่ากลุ่ม Lace Tempest ได้ใช้ประโยชน์จากการโจมตี MOVEit Transfer Zero-Day       
ที่มีผลกระทบมากกว่า 2,500 องค์กร โดยการโจมตีครั้งนี้ช่วยให้ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่             ซอฟต์แวร์จัดการไฟล์ของ MOVEit เพื่อเข้าถึงข้อมูลขององค์กร และใช้ไฟล์ที่ถูกโจมตีเพื่อเรียกค่าไถ่จากเหยื่อ 

การโจมตี Zero-Day ของ SysAid ผู้ไม่ประสงค์ดีใช้ Meshagent Remote Administration Tool           
เพื่อควบคุมจากระยะไกลบนระบบของเป้าหมาย และ malware ที่ชื่อ GraceWire ถูกสร้างขึ้นเพื่อทำลายระบบดักจับข้อมูล หรือลบข้อมูลได้ และผู้ไม่ประสงค์ดียังใช้สคริปต์ PowerShell เพื่อปกปิดร่องรอยการโจมตีโดยการลบหลักฐานการโจมตีจากเซิร์ฟเวอร์ที่ตกเป็นเป้าหมาย 

คำแนะนำ  

  • ควรอัปเดตระบบซอฟต์แวร์ป้องกันไวรัสและระบบปฏิบัติการให้เป็นปัจจุบันอยู่เสมอ   
  • ควรสำรองข้อมูลที่สำคัญบน Cloud หรือ External Hardisk อย่างสม่ำเสมอ 
  • ควรจำกัดสิทธิ์การเข้าถึงข้อมูลให้กับผู้ที่มีความจำเป็นเท่านั้น 
  • ควรให้ความรู้พนักงานในองค์กรสำหรับการเตรียมรับมือกับการโจมตี Zero-Day  

Ref: https://www.securityweek.com/sysaid-zero-day-vulnerability-exploited-by-ransomware-group/?web_view=true 

Share