ย้ายไปที่ MOVEit มีการใช้ประโยชน์จากซีโรเดย์แบบใหม่เพื่อปรับใช้ Clop ransomware ในเครือข่ายองค์กร ในครั้งนี้ ผู้คุกคามรายเดียวกันถูกจับได้ว่าใช้ประโยชน์จากข้อบกพร่องในการปรับใช้ซอฟต์แวร์ SysAid IT Support ภายในองค์กร
ไมโครซอฟท์ ประกาศข้อบกพร่องซึ่งติดตามภายใต้ CVE-2023-47246 เมื่อวันที่ 8 พ.ย. โดยเสริมว่า SysAid ได้ออกแพตช์แล้ว Sasha Shapirov CTO ของ SysAid อธิบายไว้ใน โพสต์บล็อก เผยแพร่ในวันเดียวกับที่บริษัทได้รับทราบถึงช่องโหว่ดังกล่าวเมื่อวันที่ 2 พ.ย. ซึ่งทำให้เกิดการสืบสวนและแก้ไขโดยทันที
SysAid นำเสนอฝ่ายช่วยเหลือด้านไอทีและสนับสนุนบริการอัตโนมัติสำหรับองค์กรในภาคส่วนต่างๆ ที่ให้ความสำคัญกับข้อมูล รวมถึงการดูแลสุขภาพ ทรัพยากรมนุษย์ การศึกษาระดับอุดมศึกษา และการผลิต บริษัทไม่ตอบสนองต่อคำร้องขอความคิดเห็นเกี่ยวกับจำนวนผู้ที่อาจเป็นเหยื่อของการโจมตีทางไซเบอร์ในทันที
ทีมข่าวกรองภัยคุกคามของ Microsoft ระบุว่าผู้คุกคามที่อยู่เบื้องหลังการโจมตีคือ Lace Tempest หรือที่รู้จักในชื่อ DEV-0950 ซึ่งเป็นที่รู้จักในการปรับใช้ Clop ransomware สำหรับแคมเปญกรรโชกทรัพย์ กลุ่มนี้ใช้แรนซัมแวร์สายพันธุ์เดียวกันกับ ย้ายช่องโหว่แบบ Zero-day ในการโจมตีแบบสายฟ้าแลบที่ทำลายองค์กรหลายร้อยแห่ง
"การสืบสวนระบุช่องโหว่ Path Traversal ที่ไม่รู้จักก่อนหน้านี้ ซึ่งนำไปสู่การเรียกใช้โค้ดภายในซอฟต์แวร์ SysAid ภายในองค์กร” Shapirov อธิบาย “ผู้โจมตีอัปโหลดไฟล์เก็บถาวร WAR ที่มี WebShell และเพย์โหลดอื่น ๆ ลงในเว็บรูทของบริการเว็บ SysAid Tomcat”
ผู้บริหาร SysAid แนะนำให้ทีมองค์กรที่ใช้งาน SysAid เวอร์ชันภายในองค์กรควรเปิด Playbook การตอบสนองต่อเหตุการณ์และอัปเดตแพตช์ให้ทันสมัยอยู่เสมอเมื่อพร้อมใช้งาน โพสต์นี้ยังให้ตัวบ่งชี้โดยละเอียดของการประนีประนอม (IoC)
“เราขอแนะนำให้ลูกค้าทุกคนที่มีการติดตั้งเซิร์ฟเวอร์ SysAid ภายในองค์กรเพื่อให้แน่ใจว่าระบบ SysAid ของคุณได้รับการอัปเดตเป็นเวอร์ชัน 23.3.36 ซึ่งจะแก้ไขช่องโหว่ที่ระบุ และดำเนินการประเมินการประนีประนอมที่ครอบคลุมของเครือข่ายของคุณ เพื่อค้นหาตัวบ่งชี้ใดๆ ที่กล่าวถึงเพิ่มเติมด้านล่าง ชาปิรอฟกล่าวเสริม “คุณควรระบุตัวบ่งชี้ใดๆ ดำเนินการทันทีและปฏิบัติตามระเบียบการตอบสนองต่อเหตุการณ์ของคุณ”
ปัญหาเกี่ยวกับการแพตช์ภายในองค์กร
ข้อเท็จจริงที่ว่าช่องโหว่ SysAid นี้ส่งผลกระทบต่ออินสแตนซ์ภายในองค์กรมีแนวโน้มที่จะชะลอการแพทช์ในหลายองค์กร ตามที่ John Gallagher รองประธานของ Viakoo Labs
“องค์กรจำนวนมากลืมการติดตามว่าใครเป็นผู้รับผิดชอบการปรับใช้ภายในองค์กร เว้นแต่จะได้รับการจัดการโดยฝ่ายไอที” Gallagher กล่าว “องค์กรควรมีรายการสินทรัพย์ที่สมบูรณ์ รวมถึงการค้นพบตามแอปพลิเคชัน”
เนื่องจากต้นทุนที่เกี่ยวข้องกับการ ย้ายมันละเมิด การค้นพบ SysAid ใหม่นี้มีจำนวนเพิ่มขึ้นเป็นพันล้านทำให้เกิดความตื่นตระหนกและแสดงให้เห็นถึงความจำเป็นที่สำคัญสำหรับทีมรักษาความปลอดภัยขององค์กรในการตอบสนองต่อภัยคุกคามที่เกิดขึ้นใหม่อย่างรวดเร็ว
“ความเสียหายที่อาจเกิดขึ้นจากช่องโหว่ SysAid จะขึ้นอยู่กับปัจจัยต่างๆ เช่น ความแพร่หลายของการใช้ประโยชน์ ความเร็วในการใช้แพตช์ และความอ่อนไหวของข้อมูลที่เข้าถึง” เครก โจนส์ รองประธานฝ่ายปฏิบัติการด้านความปลอดภัยของ Ontinue กล่าว “เมื่อพิจารณาจากกลยุทธ์ในอดีตของกลุ่ม Clop ดังที่เห็นในเหตุการณ์ MOVEit และแรงจูงใจทางการเงินของพวกเขา จึงมีความเสี่ยงที่จะได้รับผลกระทบอย่างมีนัยสำคัญ หากช่องโหว่ของ SysAid ไม่ได้รับการแก้ไขอย่างรวดเร็วและมีประสิทธิภาพ”
เพื่อเตรียมพร้อมล่วงหน้าสำหรับแคมเปญซีโรเดย์ครั้งต่อไป Paul Laudansky ผู้อำนวยการฝ่ายวิจัยด้านความปลอดภัยของ Onapsis แนะนำว่าทีมรักษาความปลอดภัยจำเป็นต้องเข้าใจสิ่งที่อยู่ในเครือข่ายให้ชัดเจนและติดตามอย่างมีประสิทธิภาพ ซึ่งรวมถึงไฟร์วอลล์ที่กำหนดค่าเพื่อระบุเส้นทางการข้ามผ่าน การตรวจสอบการดำเนินการและการมีส่วนร่วมของเว็บเชลล์ และอื่นๆ อีกมากมาย เขาอธิบายผ่านทางอีเมล
“การโจมตีครั้งนี้เป็นการปลุกครั้งใหญ่สำหรับบริษัทต่างๆ ที่ขาดความสามารถในการตรวจจับภัยคุกคามที่เหมาะสม ความเข้าใจ และการทำแผนที่ระบบนิเวศแบบ end-to-end” Laudansky กล่าวเสริม “องค์กรควรเข้าใจสภาพแวดล้อมของตนและปรับแต่งการแจ้งเตือนอย่างสม่ำเสมอ”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/attacks-breaches/moveit-hackers-sysaid-zero-day-ransomware
- :มี
- :เป็น
- :ไม่
- 23
- 36
- 7
- 8
- a
- เกี่ยวกับเรา
- Accessed
- ตาม
- ข้าม
- การกระทำ
- นักแสดง
- ที่เพิ่ม
- เพิ่ม
- ความก้าวหน้า
- กับ
- การแจ้งเตือน
- ทั้งหมด
- แล้ว
- ด้วย
- an
- และ
- ใด
- ประยุกต์
- เอกสารเก่า
- เป็น
- AS
- การประเมินผล
- สินทรัพย์
- At
- โจมตี
- การโจมตี
- อัตโนมัติ
- ใช้ได้
- ทราบ
- กลายเป็น
- หลัง
- กำลัง
- ด้านล่าง
- พันล้าน
- by
- โทรศัพท์
- รณรงค์
- แคมเปญ
- ความสามารถในการ
- จับ
- ชัดเจน
- รหัส
- ความเห็น
- บริษัท
- บริษัท
- สมบูรณ์
- ครอบคลุม
- การประนีประนอม
- ที่ถูกบุกรุก
- ปฏิบัติ
- การกำหนดค่า
- ค่าใช้จ่าย
- ร้าว
- เครก
- วิกฤติ
- CTO
- ลูกค้า
- cyberattack
- ความเสียหาย
- ข้อมูล
- วัน
- ความล่าช้า
- แสดงให้เห็นถึง
- ปรับใช้
- ปรับใช้
- การใช้งาน
- การแต่งตั้ง
- เคาน์เตอร์
- รายละเอียด
- การตรวจพบ
- แน่นอน
- DID
- ผู้อำนวยการ
- การค้นพบ
- กล่าวถึง
- ระบบนิเวศ
- การศึกษา
- มีประสิทธิภาพ
- ความพยายาม
- อีเมล
- กากกะรุน
- จบสิ้น
- มีส่วนร่วม
- ทำให้มั่นใจ
- Enterprise
- ความปลอดภัยขององค์กร
- ผู้ประกอบการ
- สิ่งแวดล้อม
- การปฏิบัติ
- อธิบาย
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- การกรรโชก
- ความจริง
- ปัจจัย
- ทางการเงิน
- ไฟร์วอลล์
- ข้อบกพร่อง
- ปฏิบัติตาม
- สำหรับ
- ราคาเริ่มต้นที่
- ต่อไป
- ได้รับ
- กำหนด
- บัญชีกลุ่ม
- แฮกเกอร์
- มี
- he
- การดูแลสุขภาพ
- ช่วย
- สูงกว่า
- อุดมศึกษา
- ทางประวัติศาสตร์
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- ใหญ่
- เป็นมนุษย์
- ทรัพยากรมนุษย์
- ร้อย
- ระบุ
- แยกแยะ
- if
- ทันที
- ทันที
- ส่งผลกระทบ
- ผลกระทบ
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- รวมถึง
- รวมทั้ง
- ตัวชี้วัด
- Intelligence
- เข้าไป
- สินค้าคงคลัง
- การสอบสวน
- ทุนที่ออก
- IT
- IT Support
- จอห์น
- โจนส์
- jpg
- เก็บ
- ที่รู้จักกัน
- ห้องปฏิบัติการ
- ไม่มี
- ชั้นนำ
- การใช้ประโยชน์
- น่าจะ
- ดู
- สูญเสีย
- ทำ
- การจัดการ
- การผลิต
- หลาย
- การทำแผนที่
- การตรวจสอบ
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- แรงจูงใจ
- จำเป็นต้อง
- เครือข่าย
- เครือข่าย
- ใหม่
- ถัดไป
- พฤศจิกายน
- จำนวน
- of
- เสนอ
- on
- เปิด
- การดำเนินการ
- or
- องค์กร
- อื่นๆ
- เกิน
- ปะ
- แพทช์
- ปะ
- เส้นทาง
- พอล
- เดือย
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- โพสต์
- ที่มีศักยภาพ
- เตรียมการ
- ประธาน
- ก่อนหน้านี้
- ปัญหา
- เหมาะสม
- โปรโตคอล
- ให้
- การตีพิมพ์
- อย่างรวดเร็ว
- ransomware
- การโจมตีของแรนซัมแวร์
- แนะนำ
- สม่ำเสมอ
- ที่เกี่ยวข้อง
- การร้องขอ
- การวิจัย
- แหล่งข้อมูล
- ตอบสนอง
- คำตอบ
- รับผิดชอบ
- ความเสี่ยง
- วิ่ง
- s
- เดียวกัน
- พูดว่า
- ภาค
- ความปลอดภัย
- เห็น
- ความไว
- เซิร์ฟเวอร์
- ให้บริการอาหาร
- บริการ
- น่า
- สำคัญ
- ซอฟต์แวร์
- อย่างเช่น
- สนับสนุน
- บริการสนับสนุน
- อย่างรวดเร็ว
- ระบบ
- กลยุทธ์
- เอา
- ทีม
- ทีม
- ที่
- พื้นที่
- ของพวกเขา
- ที่นั่น
- พวกเขา
- นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคาม
- เวลา
- ไปยัง
- ลู่
- ทริกเกอร์
- ภายใต้
- เข้าใจ
- ความเข้าใจ
- ไม่ทราบ
- ทันเหตุการณ์
- ให้กับคุณ
- อัปโหลด
- มือสอง
- ความหลากหลาย
- รุ่น
- รุ่น
- ผ่านทาง
- รอง
- Vice President
- ผู้ที่ตกเป็นเหยื่อ
- ความอ่อนแอ
- สงคราม
- คือ
- we
- เว็บ
- คือ
- อะไร
- ที่
- WHO
- แพร่หลาย
- จะ
- กับ
- ภายใน
- จะ
- คุณ
- ของคุณ
- ลมทะเล