Malwarebytesは11月9日(米国時間)、「Update now! SysAid vulnerability is actively being exploited by ransomware affiliate|Malwarebytes」において、ITサービス自動化ソフトウェアの「SysAid」にゼロデイの脆弱性が存在し、悪用されているとして、注意を呼び掛けた。この脆弱性は初期アクセスブローカー(IAB: Initial Access Brokers)の「Lace Tempest」による限定的な攻撃の調査において、Microsoftが発見したもの。
Malwarebytesによると、SysAidは2023年11月2日にMicrosoftから報告を受け調査を開始したという。その後、報告された不具合が実際にゼロデイの脆弱性であることが確認されたとしている。この脆弱性はSysAidの発見されていなかったパストラバーサルの脆弱性で、オンプレミスソフトウェア内でコードの実行につながると見られている。
脅威アクターはこの脆弱性を悪用し、WebシェルやペイロードをSysAid Tomcat WebサービスのWebルートにアップロードすることで不正アクセスとシステムの制御を可能にしたという。次に、脅威アクターは2つのPowerShellスクリプトを使用して、マルウェアローダ「Gracewire」を展開、さらに侵入の形跡などの消去を試みたとされる。
この脆弱性はCVE-2023-47246として追跡されており、現在は修正パッチが提供されている。SysAidは同社のオンプレミスサーバを運用している顧客に対し、次のような対策を推奨している。
- SysAidシステムがバージョン23.3.36に更新されていることを確認する
- SysAidサーバに対して徹底的な侵害評価を実施し、セキュリティ侵害インジケータ(IoC: Indicator of Compromise)で指摘される兆候がないか調査する
- SysAidサーバにフルアクセスできる認証情報などを確認する。また、関連するアクティビティログをチェックし、不審な活動が無いことを確認する
SysAidはこの脆弱性に関する詳細な情報を「SysAid On-Prem Software CVE-2023-47246 Vulnerability - SysAid」にて公開している。この情報の中でセキュリティ侵害インジケータを公開しており、調査に活用することが望まれている。
Malwarebytesはこの攻撃によりGracewireなどが展開され、足場が固められると横方向の移動やデータの窃取、ランサムウェアの展開など攻撃が続くとして注意を呼びかけている。SysAidサーバを運用するシステムの管理者は、この脆弱性の影響を確認し、速やかに上記の対策を実施することが望まれている。