SysAid : Cl0p s’offre une nouvelle vulnérabilité 0day

Le 2 novembre, l’équipe de sécurité de SysAid a pris connaissance d’une vulnérabilité potentielle dans son logiciel d’ITSM sur site.

Une réponse immédiate a été déclenchée, et l’éditeur a collaboré avec Profero, une entreprise de réponse aux incidents de cybersécurité, pour enquêter sur cette vulnérabilité, qui s’est avérée être inédite – une 0day.

L’éditeur recommande vivement à tous ses clients utilisant SysAid sur site de mettre à jour leur système vers la version 23.3.36 pour remédier à cette vulnérabilité. 

Car cette faille est exploitée par un groupe connu sous la référence DEV-0950 (ou Lace Tempest), qui a réussi à prendre le contrôle du système en téléchargeant un fichier WebShell. Une fois cette intrusion réalisée, un script PowerShell a été utilisé pour déployer un chargeur de logiciels malveillants, permettant l’injection du cheval de Troie GraceWire dans certains processus système.

Face à cette menace sévère, SysAid enjoint ses clients à agir immédiatement en suivant leur protocole de réponse aux incidents et en installant les mises à jour disponibles.

Pour Microsoft, Lace Tempest présente des recouvrements avec les acteurs malveillants suivis par d’autres sous les références FIN11 et TA505 connus pour le ransomware Cl0p.

Le groupe s’est fortement fait remarquer cette année pour plusieurs campagnes d’exploitation de vulnérabilités inédites de manière industrielle. 

Au printemps, il y a eu ainsi la campagne MOVEit. Elle avait été précédée par une autre, visant le système de transfert de fichiers GoAnywhere MFT de Fortra, mais aussi celui de gestion des impressions PaperCut, notamment.