แจ้งเตือนกรณีช่องโหว่ Zero-Day ของ SysAid On-Prem Software หมายเลข CVE-2023-47246
-
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ตรวจพบข่าวสารบนเว็บไซต์ที่น่าเชื่อถือกรณี Microsoft ค้นพบการใช้ประโยชน์จากช่องโหว่แบบ Path Traversal CVE-2023-47426 มีความรุนแรงระดับ Critical (CVSS 9.8) ส่งผลกระทบต่อ SysAid โดยผู้โจมตีสามารถอัปโหลดไฟล์ RAR ที่มี WebShell และเพย์โหลดอื่นๆ ลงใน webroot ของ SysAid Tomcat Web Service ซึ่งทำให้ผู้โจมตีสามารถแทรกมัลแวร์บนระบบและขโมยข้อมูลได้ โดยช่องโหว่นี้จะทำให้ผู้โจมตีเรียกใช้โค้ดรวมถึงการใช้เครื่องมือระยะไกล MeshAgent และมัลแวร์ GraceWire เพื่อเข้าถึงได้โดยที่ไม่ได้รับอนุญาต
ช่องโหว่หมายเลข CVE-2023-47246 ได้รับการแก้ไขแล้ว หน่วยงานที่ใช้งาน SysAid On-Prem Software ควรอัปเดตให้เป็นเวอร์ชัน 23.3.36 และตรวจสอบข้อมูลประจำตัวหรือข้อมูลอื่น ๆ ของบุคคลที่มีสิทธิ์เข้าถึงอุปกรณ์ที่ใช้งาน SysAid On-Prem Software หรือตรวจสอบบันทึกกิจกรรมที่เกี่ยวข้องเพื่อหาพฤติกรรมที่น่าสงสัย
ทั้งนี้ แนะนำให้ผู้ใช้งานและผู้ดูแลระบบตรวจสอบคู่มือการอัปเดตความปลอดภัยประจำเดือนพฤศจิกายน 2566 และใช้การอัปเดตที่จำเป็น https://www.cisa.gov/known-exploited-vulnerabilities-catalogอ้างอิง
1.https://nvd.nist.gov/vuln/detail/CVE-2023-47246
2.https://www.rapid7.com/blog/post/2023/11/09/etr-cve-2023-47246-sysaid-zero-day-vulnerability-exploited-by-lace-tempest/
3.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-47246
4.https://www.cisa.gov/known-exploited-vulnerabilities-catalogสามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
