大家可以把蚁剑安全实验室“设为星标”,这样就可以及时看到我们最新发布的“漏洞预警”及“漏洞复现”的安全内容啦!
免责声明:该文章仅用于技术讨论与学习。请勿利用文章所提供的相关技术从事非法测试,若利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。
漏洞名称
SysAid On-premise 代码执行漏洞
漏洞评分
9.8(极危)
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞详情
SysAid On-premise 存在目录遍历漏洞,未经身份验证的攻击者可以利用该漏洞上传webshell到服务器上,成功利用该漏洞可以在目标系统执行任意代码。
该问题被跟踪为 CVE-2023-47246,涉及路径遍历缺陷,该缺陷可能导致在本地安装中执行代码。它已由 SysAid 在软件的 23.3.36 版中修补。
“在利用该漏洞后,Lace Tempest通过SysAid软件发出命令,为Gracewire恶意软件提供恶意软件加载程序,”Microsoft说。“这通常伴随着人为操作的活动,包括横向移动、数据盗窃和勒索软件部署。”
根据 SysAid 的说法,已观察到威胁行为者将包含 Web shell 和其他有效负载的 WAR 存档上传到 SysAid Tomcat Web 服务的 webroot 中。
Web Shell 除了为威胁参与者提供对受感染主机的后门访问权限外,还用于提供 PowerShell 脚本,该脚本旨在执行加载程序,进而加载 Gracewire。
攻击者还部署了第二个 PowerShell 脚本,用于在部署恶意负载后擦除利用证据。
此外,攻击链的特点是使用 MeshCentral 代理和 PowerShell 下载并运行 Cobalt Strike,这是一个合法的利用后框架。
强烈建议使用 SysAid 的组织尽快应用补丁以阻止潜在的勒索软件攻击,并在修补之前扫描其环境中是否有利用迹象。
| 漏洞编号 |
CVE-2023-47246 | 漏洞类型 |
远程代码执行漏洞 |
| POC状态 | 未知 |
漏洞细节 |
未知 |
| EXP状态 |
未知 |
在野利用 |
利用
|
影响版本
SysAid On-premise < 23.3.36
修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
https://documentation.sysaid.com/docs/latest-version-installation-files
检测方式
原文始发于微信公众号(蚁剑安全实验室):【漏洞预警】SysAid On-premise 代码执行漏洞(CVE-2023-47246)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论